QuarkusがEOLになっても、CVEの報告は止まりません。

Never-Ending Support (NES) 、リリースラインのサポート終了後も、KubernetesネイティブのJavaサービスを安全かつコンプライアンスに準拠した状態に保ち、監査対応可能な状態を維持します。Quarkus 2.16または3.20の使用が必須となっている場合、NESはセキュリティチームにサポート対象のビルドを提供するため、セキュリティ態勢、アップグレードのスケジュール、およびエンジニアリングリソースの配分を適切に管理することができます。

多くの企業から信頼されています

グーグルのロゴマイクロソフトロゴフィンラのロゴサンタンデール銀行のロゴ
日立ロゴワークデイのロゴDropboxのロゴ

セキュリティ、コンプライアンス、事業継続――これらを一体的に解決

Quarkusはおよそ毎月新しいリリースを公開しており、LTS版以外の各ブランチは、次のリリースが公開された瞬間にコミュニティによる修正の提供が停止します。 LTSラインでさえ、サポートが継続されるのは約1年間です。すべてのリリースを追いかけていない限り、サービスはすぐにサポート終了版へと移行してしまい、その後発生するCVEは修正されないままとなり、スキャナーはすべてのビルドを脆弱性として検出することになります。Quarkus用のNESは、現在ご利用中の2.16または3.20リリースラインのサポート対象ビルドです。

セキュリティ

リスク:Quarkusはネットワークのエッジに位置し、HTTP、REST、および認証トラフィックを処理しています。サポート終了(EOL)となったリリースラインでは、上流での修正は行われません。

サポート終了(EOL)となったリリースラインのすべての深刻度レベルのCVEを修正することで、HTTP攻撃、セキュリティポリシー攻撃、およびデシリアライゼーション攻撃が依存する脆弱性の窓を塞ぎます。

SLAに基づくパッチの提供は、深刻度に応じて行われる

お使いの2.16または3.20のバージョンに適用された修正

コア、HTTP、REST、セキュリティ、およびデータに関する範囲

コンプライアンス

リスク:CRA、DORA、NIS2、PCI DSS、およびSOC 2において、是正策が示されていない未解決の監査指摘事項が残る可能性。

すべてのビルドには、監査人やスキャナーツールが利用可能なVEXステートメントが同梱されているため、サポートされていない依存関係に関する指摘事項を解決するための文書化された証拠を確保できます。

SOC 2、PCI DSS、HIPAA、FedRAMPへの対応

DORA、NIS2、EUサイバーレジリエンス法など

VEXステートメントとパッチ履歴の記録

事業継続

リスク:Quarkusのメジャーバージョンを強制的に上げると、サービスが依存しているJakarta EE、MicroProfile、および拡張機能の契約が破綻する可能性があります。

バージョン変更時に、アプリケーションコードを変更することなくそのまま置き換えられる「ドロップイン」型のquarkus-bomが用意されているため、ご自身のスケジュールに合わせてQuarkusの移行を進めることができます。

移行を適切に行うための数ヶ月あるいは数年の猶予期間

書き換えなし、拡張機能の不具合なし

フレームワークの強制移行にかかる費用のほんの一部

「顧客から要望されていた機能を一切提供できないと伝えなければならない状況を想像してみてください。その理由は、すでに正常に動作しているコードの書き直しに、今後1年間を費やさなければならないからです。 これは、どのCTOも望まない会話でしょう……。NESがもたらした影響は、単に事業を継続するだけにとどまりません。私たちは、まったく新しいコンポーネントライブラリへの投資を行い、ユーザー体験を向上させ、新規顧客獲得に直接貢献する機能を提供することができました。もし移行作業に縛られていたなら、それは不可能だったでしょう。」

— キールヴァル
ヴァレンティーナ・ロケス、CTO

「HeroDevsの延長サポートを活用することで、セキュリティリスクを軽減し、レガシーアプリケーションの安全な運用を継続するとともに、より持続可能な長期的な移行戦略を策定するための貴重な時間を確保することができました。そのすべてを、顧客体験や規制要件を損なうことなく実現できたのです。」

— サンラム・プライベート・ウェルス
金融サービス

「私たちは、典型的な技術的ジレンマに直面していました。すでに置き換えを計画していたレガシーシステムの更新に貴重なエンジニアリングリソースを費やすか、それとも増大するセキュリティリスクを受け入れるか。どちらの選択肢も、当社のビジネス目標とは合致しませんでした。……NESの導入により、戦略的なロードマップを損なうことなくセキュリティ体制を維持しつつ、大幅なコスト削減も実現することができました。」

— Statista
マルクス・ヴォルフ(建築家)
コモンハウス財団

エコシステム・パートナーシップ

Commonhaus Foundationは、Jacksonを含むコミュニティ主導のオープンソースプロジェクトを支援する非営利団体であり、これらのプロジェクトの長期的な管理と持続可能性を確保しています。HeroDevsは、Commonhaus Foundationのオープンソース持続可能性イニシアチブ(OSSI)の創設メンバーであることを誇りに思っています。HeroDevsはCommonhausと協力して、セキュリティに重点を置いたこのイニシアチブを立ち上げ、サポート終了版Never-Ending Support (NES) を提供しています。 Jacksonや、コモンハウス財団が統括するその他のオープンソースプロジェクトに対し、「ネバー・エンディング・サポート(NES)」を提供しています。

NESをインストールしたその日から、何が変化するのか。

その前――痛み

お客様のサービスは、サポート終了(EOL)となったQuarkusのブランチ上で実行されています

スキャナーはすべてのビルドを検知します。アップストリームからのパッチは提供されません。新しいHTTPやセキュリティポリシーに関するCVEが公開されると、移行を完了するまでは、情報公開から悪用されるまでの期間が継続します。

その後 — HeroDevsと

NESはパッチのパスを復元します

quarkus-bom バージョンの切り替えにより、対象となる拡張機能全体で SLA に基づく CVE パッチの適用が再開されますが、API やアプリケーションの動作に変更はありません。

その前――痛み

答えのない未解決の知見

内部監査、SOC 2、および顧客向けセキュリティアンケートにおいて、いずれも貴社のQuarkus-coreがサポート終了(EOL)状態であることが指摘されています。サブスクリプションへの移行や急遽のアップグレード以外には是正策がなく、監査人に対して納得のいく説明もできません。

その後 — HeroDevsと

調査結果はほぼ出揃い、アンケートは自ずと答えが導き出される

ベンダーが保証する、SLAおよびVEXステートメントが明記されたビルドです。スキャナーによるCVEの検出が停止し、PCI DSS、HIPAA、SOC 2、DORA、およびNIS2に準拠したランタイムを参照できるようになります。

その前――痛み

リリース頻度とロードマップ

Quarkusのバージョンアップを行うと、Jakarta EE、MicroProfile、および拡張機能の変更により、サービスに不具合が生じる可能性があります。毎月のリリースサイクルに追われること、あるいは急いでLTSバージョンへの移行を行うことは、エンジニアをロードマップから逸脱させてしまいます。

その後 — HeroDevsと

ペースに合わせるのではなく、自分の都合に合わせて移行しましょう

すぐに導入できるBOM — コードの変更は不要です。運用中のラインがセキュリティ、コンプライアンス、安定性を維持されたまま、チームは適切なアップグレードを計画するための余裕を得ることができます。

quarkus-coreだけではありません

Quarkus向けNESは、ほとんどのサービスが実際に依存している拡張機能、すなわちランタイムとCDIコア、HTTP、REST、メッセージング層、そしてセキュリティ、ID、永続化の各拡張機能を網羅しています。

コアとランタイム

エンジン

quarkus-core

quarkus-arc (CDI)

quarkus-vertx

bootstrap

HTTP、REST、およびメッセージング

エッジ

quarkus-rest

quarkus-resteasy

quarkus-vertx-http

quarkus-grpc

quarkus-rest-client

smallrye-reactive-messaging

セキュリティ、データ、プラットフォーム

接着剤

quarkus-security

quarkus-oidc

quarkus-smallrye-jwt

hibernate

quarkus-agroal

postgresql

導入が簡単で、業務に支障をきたさない

pom.xml
<dependencyManagement>
<dependencies>
<dependency>
<groupId>com.herodevs.nes.io.quarkus.platform</groupId>
<artifactId>quarkus-bom</artifactId>
<version>2.16.12-quarkus</version>
<type>pom</type> <scope>import</scope>
</dependency>
</dependencies>
</dependencyManagement>
1

レジストリを追加する

pom.xmlまたはsettings.xmlで、registry.herodevs.io をMaven リポジトリとして登録してください

2

トークンの設定を行う

ビルドがパッチ適用済みのアーティファクトを取得できるように、settings.xml に HeroDevs の認証トークンを追加してください。

3

BOMを入れ替える

quarkus-bom を-nes ビルドおよび再ビルドの対象とします。アプリケーションコードの変更はありません。

4

スキャナー通過

積極的にパッチが適用され、商用サポートも提供されているため、EOL(サポート終了)となったQuarkusに関するCVEの報告は終了しました。

あらゆる規格、フレームワーク、規制に対して、説得力のある回答を用意しています

EOL(サポート終了)ソフトウェアは、世界中の規制におけるパッチ管理への期待を損なうものです。NESなら、ベンダーによるサポートが継続されるビルドを提供し、確約されたSLAと文書化されたパッチ履歴により、監査人や規制当局に対してコンプライアンスを証明することができます。

PCIデータセキュリティ基準

米国

要件 6.3.3 では、既知の「重大」および「高深刻度」の脆弱性については、30 日以内にパッチを適用することが求められています。アップストリームからのパッチが提供されていない EOL 版の Quarkus を使用している場合、コンプライアンス違反となります。NES を使用することで、パッチ適用経路が復元されます。

HIPAA

米国

サポート対象外のフレームワークでは、ePHIを扱うシステムに対して適切な安全対策を講じることが困難になります。NESは、積極的なメンテナンスとリスク低減を提供します。

SOC 2

グローバル

トラスト・サービス基準では、脆弱性の適時な是正とパッチ管理が求められています。EOL(サポート終了)となった依存関係については、代償となるサポート手段が存在しない限り、監査の際に重大な指摘事項となります。NESこそが、その代償となるサポート手段です。

NIS2

EU

第21条では、パッチ適用、脆弱性、およびサプライチェーン管理について規定している。サポート体制が整っていないEOLソフトウェアを稼働させるとリスクが生じるが、NIS2では、事業者がこのリスクを積極的に軽減することが求められている。

DORA

EU

DORAは、EOL(サポート終了)ソフトウェアを、金融ICT資産におけるレジリエンスのギャップと見なしています。NESでは、メンテナンスが継続されているビルドと、文書化されたパッチ管理プログラムを提供します。

サイバーレジリエンス法

EU

デジタル要素を含む製品のソフトウェアライフサイクルにおけるセキュリティを管理します。NESでは、保証期間中、EOL(サポート終了)となったQuarkus製品ライン向けに、メンテナンスおよびパッチ適用済みのビルドを提供します。

NIST CSF 2.0

米国

規制PR.PS-02では、組織に対し、リスクに基づいて脆弱性のあるソフトウェアを積極的に維持または削除することが求められています。NESを利用すれば、強制的なアップグレードを行うことなく、この規制への準拠が可能になります。

FedRAMP

米国

継続的な監視では、定義された周期での脆弱性の修正が求められます。パッチが適用され、ベンダーのサポートが保証されたビルドがあれば、ISSOは、EOL(サポート終了)となったQuarkusを認証境界内に維持し続けることを正当化するための、文書化された修正手順を確保できます。

商業契約

グローバル

脆弱性および構成管理の対策には、技術的な脆弱性を特定し、ソフトウェアをセキュリティ基準の範囲内に維持することが求められます。NESは、EOL(サポート終了)ソフトウェアについても、そのセキュリティ態勢を回復させます。

あなたが実行しているソフトウェアにパッチを適用するセキュリティエンジニアたちによって開発されました。

NES for Quarkusのすべてのビルドでは、お使いのバージョンラインで対象となる拡張機能に関する既知のCVEが修正されており、スキャナーが検出するアドバイザリに対応したVEXステートメントとリリースノートが同梱されています。

HeroDevsはCVE番号付与機関であり、Commonhaus Open Source Sustainability Initiativeの創設メンバーでもあります。同社は、Javaのオープンソースの発展を支えるメンテナやエコシステムへの資金提供を行っています。

CVE番号付与機関

HeroDevsが対象とする製品におけるCVEの発見と公表。

どのビルドでもVEX

スキャナーで読み取り可能な形式

約束されたSLA

深刻度に応じたパッチの配信

よくある質問

NESは、アップグレードに代わる恒久的な選択肢となるのでしょうか?
NES for Quarkus はコンプライアンスの確保に役立ちますか?
EOLとなったQuarkusの「ドロップイン置換」とはどういう意味ですか?
NESはどのバージョンのQuarkusに対応していますか?
Never-Ending Support (NES) とは何ですか?

お問い合わせ

オープンソース・ライブラリのネバーエンディング・サポートについてご質問ですか?私たちがお手伝いします!

HeroDevsのNES製品がお客様のシステムの安全性とコンプライアンスをどのように維持できるかをご覧ください。

当社のソリューションがお客様の組織にどのような価値をもたらすかをご覧ください。

お客様のニーズに合わせた詳細な価格情報を入手できます。

グーグルのロゴリリーのロゴアボット社ロゴボックスロゴEGのロゴ日立ロゴDropboxのロゴNHSロゴワークデイのロゴフィンラのロゴマイクロソフトロゴサンタンデールのロゴ
専門家に相談する

このフォームを送信することにより、私は当社のプライバシーポリシーを確認したことを認めます

ありがとうございました!あなたの投稿は受理されました!
おっと!フォームの送信中に何か問題が発生しました。