QuarkusがEOLになっても、CVEの報告は止まりません。
Never-Ending Support (NES) 、リリースラインのサポート終了後も、KubernetesネイティブのJavaサービスを安全かつコンプライアンスに準拠した状態に保ち、監査対応可能な状態を維持します。Quarkus 2.16または3.20の使用が必須となっている場合、NESはセキュリティチームにサポート対象のビルドを提供するため、セキュリティ態勢、アップグレードのスケジュール、およびエンジニアリングリソースの配分を適切に管理することができます。
多くの企業から信頼されています

セキュリティ、コンプライアンス、事業継続――これらを一体的に解決
Quarkusはおよそ毎月新しいリリースを公開しており、LTS版以外の各ブランチは、次のリリースが公開された瞬間にコミュニティによる修正の提供が停止します。 LTSラインでさえ、サポートが継続されるのは約1年間です。すべてのリリースを追いかけていない限り、サービスはすぐにサポート終了版へと移行してしまい、その後発生するCVEは修正されないままとなり、スキャナーはすべてのビルドを脆弱性として検出することになります。Quarkus用のNESは、現在ご利用中の2.16または3.20リリースラインのサポート対象ビルドです。
セキュリティ
リスク:Quarkusはネットワークのエッジに位置し、HTTP、REST、および認証トラフィックを処理しています。サポート終了(EOL)となったリリースラインでは、上流での修正は行われません。
サポート終了(EOL)となったリリースラインのすべての深刻度レベルのCVEを修正することで、HTTP攻撃、セキュリティポリシー攻撃、およびデシリアライゼーション攻撃が依存する脆弱性の窓を塞ぎます。
SLAに基づくパッチの提供は、深刻度に応じて行われる
お使いの2.16または3.20のバージョンに適用された修正
コア、HTTP、REST、セキュリティ、およびデータに関する範囲
コンプライアンス
リスク:CRA、DORA、NIS2、PCI DSS、およびSOC 2において、是正策が示されていない未解決の監査指摘事項が残る可能性。
すべてのビルドには、監査人やスキャナーツールが利用可能なVEXステートメントが同梱されているため、サポートされていない依存関係に関する指摘事項を解決するための文書化された証拠を確保できます。
SOC 2、PCI DSS、HIPAA、FedRAMPへの対応
DORA、NIS2、EUサイバーレジリエンス法など
VEXステートメントとパッチ履歴の記録
事業継続
リスク:Quarkusのメジャーバージョンを強制的に上げると、サービスが依存しているJakarta EE、MicroProfile、および拡張機能の契約が破綻する可能性があります。
バージョン変更時に、アプリケーションコードを変更することなくそのまま置き換えられる「ドロップイン」型のquarkus-bomが用意されているため、ご自身のスケジュールに合わせてQuarkusの移行を進めることができます。
移行を適切に行うための数ヶ月あるいは数年の猶予期間
書き換えなし、拡張機能の不具合なし
フレームワークの強制移行にかかる費用のほんの一部

エコシステム・パートナーシップ
Commonhaus Foundationは、Jacksonを含むコミュニティ主導のオープンソースプロジェクトを支援する非営利団体であり、これらのプロジェクトの長期的な管理と持続可能性を確保しています。HeroDevsは、Commonhaus Foundationのオープンソース持続可能性イニシアチブ(OSSI)の創設メンバーであることを誇りに思っています。HeroDevsはCommonhausと協力して、セキュリティに重点を置いたこのイニシアチブを立ち上げ、サポート終了版Never-Ending Support (NES) を提供しています。 Jacksonや、コモンハウス財団が統括するその他のオープンソースプロジェクトに対し、「ネバー・エンディング・サポート(NES)」を提供しています。
NESをインストールしたその日から、何が変化するのか。
その前――痛み
お客様のサービスは、サポート終了(EOL)となったQuarkusのブランチ上で実行されています
スキャナーはすべてのビルドを検知します。アップストリームからのパッチは提供されません。新しいHTTPやセキュリティポリシーに関するCVEが公開されると、移行を完了するまでは、情報公開から悪用されるまでの期間が継続します。
その後 — HeroDevsと
NESはパッチのパスを復元します
quarkus-bom バージョンの切り替えにより、対象となる拡張機能全体で SLA に基づく CVE パッチの適用が再開されますが、API やアプリケーションの動作に変更はありません。
その前――痛み
答えのない未解決の知見
内部監査、SOC 2、および顧客向けセキュリティアンケートにおいて、いずれも貴社のQuarkus-coreがサポート終了(EOL)状態であることが指摘されています。サブスクリプションへの移行や急遽のアップグレード以外には是正策がなく、監査人に対して納得のいく説明もできません。
その後 — HeroDevsと
調査結果はほぼ出揃い、アンケートは自ずと答えが導き出される
ベンダーが保証する、SLAおよびVEXステートメントが明記されたビルドです。スキャナーによるCVEの検出が停止し、PCI DSS、HIPAA、SOC 2、DORA、およびNIS2に準拠したランタイムを参照できるようになります。
その前――痛み
リリース頻度とロードマップ
Quarkusのバージョンアップを行うと、Jakarta EE、MicroProfile、および拡張機能の変更により、サービスに不具合が生じる可能性があります。毎月のリリースサイクルに追われること、あるいは急いでLTSバージョンへの移行を行うことは、エンジニアをロードマップから逸脱させてしまいます。
その後 — HeroDevsと
ペースに合わせるのではなく、自分の都合に合わせて移行しましょう
すぐに導入できるBOM — コードの変更は不要です。運用中のラインがセキュリティ、コンプライアンス、安定性を維持されたまま、チームは適切なアップグレードを計画するための余裕を得ることができます。
quarkus-coreだけではありません。
Quarkus向けNESは、ほとんどのサービスが実際に依存している拡張機能、すなわちランタイムとCDIコア、HTTP、REST、メッセージング層、そしてセキュリティ、ID、永続化の各拡張機能を網羅しています。
コアとランタイム
エンジン
quarkus-core
quarkus-arc (CDI)
quarkus-vertx
bootstrap
HTTP、REST、およびメッセージング
エッジ
quarkus-rest
quarkus-resteasy
quarkus-vertx-http
quarkus-grpc
quarkus-rest-client
smallrye-reactive-messaging
セキュリティ、データ、プラットフォーム
接着剤
quarkus-security
quarkus-oidc
quarkus-smallrye-jwt
hibernate
quarkus-agroal
postgresql
導入が簡単で、業務に支障をきたさない
レジストリを追加する
pom.xmlまたはsettings.xmlで、registry.herodevs.io をMaven リポジトリとして登録してください。
トークンの設定を行う
ビルドがパッチ適用済みのアーティファクトを取得できるように、settings.xml に HeroDevs の認証トークンを追加してください。
BOMを入れ替える
quarkus-bom を-nes ビルドおよび再ビルドの対象とします。アプリケーションコードの変更はありません。
スキャナー通過
積極的にパッチが適用され、商用サポートも提供されているため、EOL(サポート終了)となったQuarkusに関するCVEの報告は終了しました。
あらゆる規格、フレームワーク、規制に対して、説得力のある回答を用意しています
EOL(サポート終了)ソフトウェアは、世界中の規制におけるパッチ管理への期待を損なうものです。NESなら、ベンダーによるサポートが継続されるビルドを提供し、確約されたSLAと文書化されたパッチ履歴により、監査人や規制当局に対してコンプライアンスを証明することができます。
PCIデータセキュリティ基準
要件 6.3.3 では、既知の「重大」および「高深刻度」の脆弱性については、30 日以内にパッチを適用することが求められています。アップストリームからのパッチが提供されていない EOL 版の Quarkus を使用している場合、コンプライアンス違反となります。NES を使用することで、パッチ適用経路が復元されます。
HIPAA
サポート対象外のフレームワークでは、ePHIを扱うシステムに対して適切な安全対策を講じることが困難になります。NESは、積極的なメンテナンスとリスク低減を提供します。
SOC 2
トラスト・サービス基準では、脆弱性の適時な是正とパッチ管理が求められています。EOL(サポート終了)となった依存関係については、代償となるサポート手段が存在しない限り、監査の際に重大な指摘事項となります。NESこそが、その代償となるサポート手段です。
NIS2
第21条では、パッチ適用、脆弱性、およびサプライチェーン管理について規定している。サポート体制が整っていないEOLソフトウェアを稼働させるとリスクが生じるが、NIS2では、事業者がこのリスクを積極的に軽減することが求められている。
DORA
DORAは、EOL(サポート終了)ソフトウェアを、金融ICT資産におけるレジリエンスのギャップと見なしています。NESでは、メンテナンスが継続されているビルドと、文書化されたパッチ管理プログラムを提供します。
サイバーレジリエンス法
デジタル要素を含む製品のソフトウェアライフサイクルにおけるセキュリティを管理します。NESでは、保証期間中、EOL(サポート終了)となったQuarkus製品ライン向けに、メンテナンスおよびパッチ適用済みのビルドを提供します。
NIST CSF 2.0
規制PR.PS-02では、組織に対し、リスクに基づいて脆弱性のあるソフトウェアを積極的に維持または削除することが求められています。NESを利用すれば、強制的なアップグレードを行うことなく、この規制への準拠が可能になります。
FedRAMP
継続的な監視では、定義された周期での脆弱性の修正が求められます。パッチが適用され、ベンダーのサポートが保証されたビルドがあれば、ISSOは、EOL(サポート終了)となったQuarkusを認証境界内に維持し続けることを正当化するための、文書化された修正手順を確保できます。
商業契約
脆弱性および構成管理の対策には、技術的な脆弱性を特定し、ソフトウェアをセキュリティ基準の範囲内に維持することが求められます。NESは、EOL(サポート終了)ソフトウェアについても、そのセキュリティ態勢を回復させます。
あなたが実行しているソフトウェアにパッチを適用するセキュリティエンジニアたちによって開発されました。
NES for Quarkusのすべてのビルドでは、お使いのバージョンラインで対象となる拡張機能に関する既知のCVEが修正されており、スキャナーが検出するアドバイザリに対応したVEXステートメントとリリースノートが同梱されています。
HeroDevsはCVE番号付与機関であり、Commonhaus Open Source Sustainability Initiativeの創設メンバーでもあります。同社は、Javaのオープンソースの発展を支えるメンテナやエコシステムへの資金提供を行っています。
CVE番号付与機関
HeroDevsが対象とする製品におけるCVEの発見と公表。
どのビルドでもVEX
スキャナーで読み取り可能な形式
約束されたSLA
深刻度に応じたパッチの配信
よくある質問
NESは、お客様が対象バージョンを運用し続ける限り、全面的なサポートを提供できるよう設計されています。多くのお客様は、計画的なアップグレードに向けた過渡期としてNESをご利用されています。また、そのバージョンがニーズに合致しているため、NESを無期限に使い続けるお客様もいらっしゃいます。どちらのケースもサポート対象となります。
はい。NESでは、SLAの遵守、VEXステートメント、および文書化されたパッチ履歴が確保された、適切に管理されたビルドを提供します。これらを組み合わせることで、監査人が求めるPCI DSS 6.3.3、SOC 2 トラスト・サービス基準、NIS2第21条、DORA、EUサイバーレジリエンス法などに対する証拠を提示することができます。
つまり、quarkus-bomのバージョンをNESタグに変更して再ビルドするということです。アプリケーションのコード、拡張機能、APIは変更されません。ビルドの結果、CVEの修正が適用された状態で、現在のEOL版Quarkusと同じランタイム動作が得られます。
NES for Quarkus は、最も広く導入されている 2 つの EOL LTS ラインである Quarkus 2.16.x および Quarkus 3.20.x を対象としています。お使いのサービスがこれ以外の Quarkus ラインで動作している場合は、対応範囲についてご相談ください。
NES for Quarkus は、HeroDevs が公開している、サポート終了済みの Quarkus リリースラインのサポート対象ビルドです。このビルドには、コミット済みの SLA に基づく CVE 修正、監査担当者やスキャナーツールが利用可能な VEX ステートメント、およびアプリケーションコードを変更することなくチームがそのまま置き換えられるドロップイン型の quarkus-bom が含まれています。
お問い合わせ
オープンソース・ライブラリのネバーエンディング・サポートについてご質問ですか?私たちがお手伝いします!
HeroDevsのNES製品がお客様のシステムの安全性とコンプライアンスをどのように維持できるかをご覧ください。
当社のソリューションがお客様の組織にどのような価値をもたらすかをご覧ください。
お客様のニーズに合わせた詳細な価格情報を入手できます。
JavaおよびJVMのセキュリティとコンプライアンスに関する最新情報を常に把握しましょう
すべての記事を表示

.png)
