Node.js アプリケーションを、サポート終了後も安全に維持しましょう
‍ 移行することなく

Node.js 12、14、16、18、および20向けのドロップイン型セキュリティパッチです。コードの変更も、強制的な移行も不要です。セキュリティを確保しながら、サービスを継続して提供できます。

価格
白い矢印
ドキュメントを表示
CVEを閲覧する

主要な貢献者による支援

OpenJSファウンデーションのロゴ

パートナー

多くの企業から信頼されています

グーグルのロゴマイクロソフトロゴフィンラのロゴSAPロゴ
Node.js のサポート終了日

20+

現在Node.jsに対して対策を実施しているCVE

随時更新中

Node.Never-Ending Support (NES) で得られるもの

セキュリティパッチ

お使いのバージョンに影響するCVEを発見し、検証し、修正するたびに、新しいNESバージョンをリリースします。継続的な対応——単なる一時的なバックポートではありません。

すでに28件のCVEが修正済み

新たな脆弱性が公表されるたびに随時更新されます。

緊急の課題については即日対応

セキュリティおよびアプリケーションの正常な動作を妨げる問題は最優先事項です。

オンデマンドのEOLリスク評価

81,000件以上のパッケージに既知のCVEが存在し、修正パッチは提供されていません。SCAでは脆弱性を検出できますが、当社のEOLデータセット(EOL DS)を使えば、どのソフトウェアがサポート終了(EOL)になったかを確認できます

今すぐ試す →

ドロップイン互換性

レジストリを当社に向け、再構築し、デプロイするだけです。コードの変更も、移行作業も、検索・置換も一切不要です。

バージョン12、14、16、18、20

現在サポートされているバージョンとサポート終了(EOL)バージョン — ご使用中のバージョンを選択してください。

すでに28件以上のCVEが修正済み

x64 および ARM64。コンテナ、Lambda、GitHub Actions。

サポートへの取り組み

企業の調達部門が求める契約上の要件やコンプライアンス上の要件を満たすよう設計されています。

SLAの遵守

HeroDevsは、SOC 2、FedRAMP、PCI、HIPAAなどの業界標準規制に準拠したインシデント対応および是正措置を提供することで、コンプライアンスを保証するSLAを提供しています。

詳細はこちら →

商業契約の保証

OSS NESは、安全性と互換性を兼ね備えているだけでなく、HeroDevs Servicesの利用に関して業界標準の商用保証も提供されています。

詳細はこちら →

このページの内容:

インストールCVE Explorer読書よくある質問
価格
アロー

たった1つのコマンド。現在の環境のまま。コードの変更は不要。

パッケージマネージャーをNESレジストリに設定し、再ビルドしてください。NVM、AWS Lambda、GitHub Actions、RPM、Artifactory、Nexusに対応しています。

Node.js NES をインストールする
$export NVM_NODEJS_ORG_MIRROR=https://registry.nes.herodevs.com/nodejs/nes
$export NVM_AUTH_HEADER="Bearer <token>"
$nvm install v18.20.6-nes
node .20.6-nes のダウンロードとインストール中...
現在、node .20.6-nes (npm v10.8.2) を使用しています ✓
ドキュメントを表示 →
バージョン
Linux x64
Linux ARM
macOS
Windows
RHEL 8
v12
-
-
v14
-
-
v16
-
v18
v20
-
-
対応機種
nvmのロゴ

気にしないで

AWS Lambdaのロゴ

AWS Lambda

GitHub Actionsのロゴ

GitHub Actions

在庫アイコン

RPM

パッケージアイコン

アーティファクトリー

製造の象徴

ネクサス

0件のCVEが緩和済み - 今後も増加中

Node.js用のNESに切り替えて、これらの脆弱性を直ちに修正しましょう。
重大性
CVE
カテゴリー
影響を受けるバージョン
公開日
ミディアム
CVE-2026-21717
サービス拒否
<20.20.2 >=22.0.0 <22.22.2 >=24.0.0 <24.14.1 >=25.0.0 <25.8.2
2026年4月13日
高い
CVE-2025-59465
無秩序な資源消費
v4 < v20.20.0, v22 < v22.22.0, v24 < v24.13.0, v25 < v25.3.0
2026年1月13日
高い
CVE-2025-27210
パストラバーサル
4.0 < 20.19.4, 22 < 22.17.1, 24 < 24.4.1
2025年7月15日
ミディアム
CVE-2025-23167
HTTPリクエストの密輸
4.0 < 20.19.1
2025年5月14日
高い
CVE-2025-23166
暗号の弱点
4.0 < 20.19.1, 22 < 22.15.0, 24 < 24.0.1
2025年5月14日
ミディアム
CVE-2025-23085
サービス拒否
4.0 < 18.20.6, 20 < 20.18.2
2025年2月7日
ミディアム
CVE-2025-23084
パストラバーサル
4.0 < 18.20.6, 20 < 20.18.2
2025年1月28日
高い
CVE-2024-27980
コマンド・インジェクション
4.0 <= 18.20.2, 20 < 20.12.2
2025年1月9日
高い
HD-2024-1407
HTTPリクエストの密輸
>=16.0.0 <16.20.1, >=18.0.0 <18.16.1, >=20.0.0 <20.3.1
2024年10月16日
低い
HD-2024-1408
情報露出
>=16.0.0 <=16.20.2
2024年10月15日
ミディアム
HD-2024-1409
サービス拒否
>=14.0.0 <=14.21.3, >=16.0.0 <=16.20.2
2024年10月15日
ミディアム
CVE-2023-46809
暗号の弱点
4.0 < 18.19.1, 20 < 20.11.1
2024年9月7日
高い
CVE-2024-36138
コマンド・インジェクション
4.0 < 18.20.4, 20.0 < 20.15.1, 22.0< 22.4.1
2024年9月7日
ミディアム
CVE-2024-27982
HTTPリクエストの密輸
4.0 < 18.20.1, 20 < 20.12.1
2024年5月7日
ミディアム
CVE-2024-27982
HTTPリクエストの密輸
<21.7.2, <20.12.1, <v18.20.1, <= 16.20.2, <=v14.21.3, <= v12.22.12
2024年5月1日
高い
CVE-2024-27983
無秩序な資源消費
4 <= 18.20.0, 20 <= 20.12.0
2024年4月9日
高い
CVE-2024-21892
特権のエスカレーション
4.0 < 18.19.1, 20 < 20.11.1
2024年2月20日
ミディアム
CVE-2024-22025
サービス拒否
<21.6.2, <20.11.1, <v18.19.1, <= 16.20.2
2024年2月14日
高い
CVE-2024-22019
サービス拒否
<21.6.2, <20.11.1, <v18.19.1, <= 16.20.2, <=v14.21.3, <= v12.22.12
2024年2月14日
ミディアム
CVE-2023-30590
暗号の弱点
4.0 < 16.20.1, 18 < 18.16.1, 20 < 20.3.1
2023年11月28日
ミディアム
CVE-2023-38552
データ真正性の不十分な検証
4.0 <= 18.18.1, 20 < 20.8.1
2023年10月18日
ミディアム
CVE-2023-32559
特権のエスカレーション
4 <= 16.20.1, 0 <= 18.17.0, 0 <= 20.5.0
2023年8月24日
ミディアム
CVE-2023-30589
HTTPリクエストの密輸
4.0 < 16.20.1, 18 < 18.16.1, 20 < 20.3.1
2023年6月30日
ミディアム
CVE-2022-35256
HTTPリクエストの密輸
4.0 < 14.20.1, 16 < 16.17.1, 18 < 18.9.1
2022年12月5日
高い
CVE-2022-32223
リソース・インジェクション
4.0 < 14.20.0, 16 < 16.20.0, 18 < 18.5.0
2022年7月14日
ミディアム
CVE-2022-32213
HTTPリクエストの密輸
4.0 < 14.20.1, 16 < 16.17.1, 18 < 18.9.1
2022年7月14日
高い
CVE-2022-32212
認証バイパス
4.0 < 14.20.1, 16 < 16.17.1, 18 < 18.9.1
2022年7月14日
ミディアム
CVE-2022-32214
HTTPリクエストの密輸
4.0 < 14.20.0, 16 < 16.20.0, 18 < 18.5.0
2022年7月14日
ミディアム
CVE-2022-32215
HTTPリクエストの密輸
4.0 < 14.20.1, 16 < 16.17.1, 18 < 18.9.1
2022年7月14日
もっと読む
深刻度で絞り込む
カテゴリで絞り込む
絞り込み条件:
重大性
=
深刻度に関する説明文
閉じるアイコン
フィルターをクリア
重大性
ID
カテゴリー
影響を受けるバージョン
公開日
ミディアム
CVE-2026-21717
サービス拒否
<20.20.2 >=22.0.0 <22.22.2 >=24.0.0 <24.14.1 >=25.0.0 <25.8.2
2026年4月13日
高い
CVE-2025-59465
無秩序な資源消費
v4 < v20.20.0, v22 < v22.22.0, v24 < v24.13.0, v25 < v25.3.0
2026年1月13日
高い
CVE-2025-27210
パストラバーサル
4.0 < 20.19.4, 22 < 22.17.1, 24 < 24.4.1
2025年7月15日
ミディアム
CVE-2025-23167
HTTPリクエストの密輸
4.0 < 20.19.1
2025年5月14日
高い
CVE-2025-23166
暗号の弱点
4.0 < 20.19.1, 22 < 22.15.0, 24 < 24.0.1
2025年5月14日
ミディアム
CVE-2025-23085
サービス拒否
4.0 < 18.20.6, 20 < 20.18.2
2025年2月7日
ミディアム
CVE-2025-23084
パストラバーサル
4.0 < 18.20.6, 20 < 20.18.2
2025年1月28日
高い
CVE-2024-27980
コマンド・インジェクション
4.0 <= 18.20.2, 20 < 20.12.2
2025年1月9日
高い
HD-2024-1407
HTTPリクエストの密輸
>=16.0.0 <16.20.1, >=18.0.0 <18.16.1, >=20.0.0 <20.3.1
2024年10月16日
低い
HD-2024-1408
情報露出
>=16.0.0 <=16.20.2
2024年10月15日
サポートを受ける
全リストを見る

Node.jsを開発したチームが開発しました

コア貢献者と提携

私たちはNode.jsプロジェクトと連携し、NESが皆様の期待に応える品質を維持できるよう努めています。コアメンテナの協力を得て、サポート終了したオープンソースプロジェクトの新たな基準を打ち立て、NESをオリジナルと同等の信頼性を持つものにすることを目指しています。

ヴュー・ロゴAngularDrupal のロゴNuxtProtractor
OpenJSファウンデーションのロゴ
HeroDevsのロゴ

OpenJS Foundationの「エコシステム・サステナビリティ・プログラム(ESP)」の創設メンバーであり、OpenJS Foundationのゴールドメンバー。Node.js向けNES、ESLint、およびその他のOpenJSプロジェクトに携わっている。

詳細はこちら →
パソコンのユーザーアイコン

私たちはオープンソースに貢献しています

オープンソースのメンテナーは極めて重要な役割を担っていますが、その対価として報酬を受け取ることはほとんどありません。

HeroDevsはこの現状を変えるため、2,000万ドルを投じ、エコシステムを支えるクリエイターやプロジェクトに対し、2,500ドルから25万ドルの助成金を提供します。

私たちは、メンテナンスされていないコードベースへのパッチ作成、誰も注目していなかった脆弱性の発見、そして急ごしらえの書き換えをせずに重要なシステムを安全に稼働させ続けてきました。この基金はそうした取り組みを基盤としており、メンテナーが自らの得意分野に専念し続けられるようにするためのものです。

詳細はこちら →

読書

セキュリティ
2026年5月14日
2026年のAngular うセキュリティ問題:AIツールの普及が格差を広げている
最新のAngular ツールとサポート終了版との間に生じているギャップが、なぜ重大なセキュリティリスクになりつつあるのか。
セキュリティ
2026年5月13日
Mini Shai-Hulud:新たなnpmサプライチェーンワーム、そして「単に更新する」だけでは解決しない理由
TanStackの侵害事件では、有効なSLSAビルドレベル3の由来証明を備えた84の悪意あるパッケージバージョンが配布されました。暗号署名は設計どおりに機能していましたが、そこがまさに問題なのです。
コンプライアンス
2026年5月13日
サポート終了(EOL)となったオープンソースソフトウェアは、EUサイバーレジリエンス法上の問題となります。その解決策をご紹介します。
EU域内にソフトウェアを供給するすべての組織が知っておくべきこと――そして、具体的な対応策。

その他の記事

Node.js向けNESの活用事例

セキュリティ:CVEの脆弱性が悪用される期間を短縮する

以前 — 痛み

その後 — ヘロデヴスと共に

何百ものNode.jsサービスが、サポート終了(EOL)となったバージョン18および20のまま放置されています。デプロイのたびにスキャナーが警告を発し、アップストリームからのパッチ提供は見込めず、新たなCVEが公開されると、情報公開から悪用されるまでの間に大きな隙が生じてしまいます。

Node.js向けNESは、オンプレミス環境やクラウドサービス(AWS、Azure、GCP)に、アプリケーションのコードを変更することなく導入可能です。バージョン12~20ではSLAに基づくCVEパッチの適用が再開され、公開前の段階で予防的な修正が行われることもあります。これにより、単一のデプロイメントサイクルで、脆弱な状態から防御された状態へと移行します。

コンプライアンス:未解決の監査指摘事項を解決する

以前 — 痛み

その後 — ヘロデヴスと共に

内部監査、SOC 2、および顧客向けセキュリティアンケートにおいて、Node.jsのEOL(サポート終了)版が問題として指摘されています。是正措置の道筋は存在せず――当プロジェクトではEOL版へのパッチ適用を行っていないため――経営陣は監査人や取締役会に対して、正当な説明を行うことができません。

NES forNode.jsは、確約されたSLAに基づく商用サポートと、OpenJS Foundationの推奨を受けています。これにより、スキャナーはCVEの検出を停止し、検出結果はクローズされ、アンケートでは、PCI DSS、HIPAA、SOC 2、DORA、NIS2、CRA、およびその他の規格や規制の要件に準拠した、ベンダーがサポートする特定のランタイムを参照できるようになります。

事業継続:EOLの期限に追われるのではなく、ご自身のペースで移行を

以前 — 痛み

その後 — ヘロデヴスと共に

バックログは満杯で、人員増は凍結されており、クラウドプロバイダーは新規デプロイにおいてEOL(サポート終了)Node.jsランタイムの使用を推奨していません。数百ものサービスにわたる急ごしらえの移行は、本番環境での障害を引き起こすリスクがあり、エンジニアをロードマップから遠ざけてしまいます。

NES forNode.jsは、環境全体でそのまま置き換え可能なソリューションです。コードの変更は不要で、オンプレミスでもクラウドサービス上でもデプロイ可能です。ランタイムのセキュリティ、コンプライアンス、本番環境での安定性が維持されるため、チームは1~3年の猶予期間を確保し、適切な移行計画を立てることができます。

よくある質問

HeroDevsは、Node.js向けのNESについてSLAを提供していますか?
NESはどのバージョンのNode.jsに対応していますか?
Node.js用のNESはコンプライアンスの遵守に役立ちますか?
なぜNode.jsにNESが必要なのでしょうか?
ライセンシングはどのように行われるのか?
「EOL/Obsolete Software:Node.js 12.x Detected」のようなエラーが表示されました。どうすればよいですか?

お問い合わせ

オープンソース・ライブラリのネバーエンディング・サポートについてご質問ですか?私たちがお手伝いします!

HeroDevsのNES製品がお客様のシステムの安全性とコンプライアンスをどのように維持できるかをご覧ください。

当社のソリューションがお客様の組織にどのような価値をもたらすかをご覧ください。

お客様のニーズに合わせた詳細な価格情報を入手できます。

グーグルのロゴリリーのロゴアボット社ロゴボックスロゴEGのロゴ日立ロゴDropboxのロゴNHSロゴワークデイのロゴフィンラのロゴマイクロソフトロゴサンタンデールのロゴSAPロゴ
専門家に相談する
ありがとうございました!あなたの投稿は受理されました!
おっと!フォームの送信中に何か問題が発生しました。