Quarkus가 EOL(지원 종료) 단계에 접어들더라도 CVE는 계속 발생합니다.
Never-Ending Support (NES) 릴리스 버전의 지원 종료 후에도 쿠버네티스 네이티브 Java 서비스를 안전하게 유지하고, 규정 준수 상태를 보장하며, 감사 준비를 완료할 수 있도록 지원합니다. Quarkus 2.16 또는 3.20 버전에 고정되어 있는 경우, NES는 보안 팀에 지원되는 빌드를 제공하여 보안 상태, 업그레이드 일정, 그리고 엔지니어링 팀의 업무 우선순위를 직접 관리할 수 있도록 합니다.
대기업들이 신뢰하는

보안, 규정 준수, 비즈니스 연속성, 이 모든 문제를 한 번에 해결합니다
Quarkus는 대략 매달 새로운 릴리스를 출시하며, LTS 버전이 아닌 각 라인은 다음 릴리스가 출시되는 순간부터 커뮤니티 수정 패치를 더 이상 제공받지 못하게 됩니다. LTS 계열조차도 약 1년 정도만 적극적으로 지원됩니다. 매 릴리스를 쫓아가지 않는 한, 서비스는 금세 지원 종료된 버전으로 밀려나게 되며, 이후 발생하는 CVE는 패치되지 않은 채로 남아 스캐너가 모든 빌드를 경고 대상으로 표시하게 됩니다. Quarkus용 NES는 사용자가 현재 사용 중인 2.16 또는 3.20 릴리스 계열의 지원 대상 빌드입니다.
보안
위험 요소: Quarkus는 네트워크 에지에 위치하여 HTTP, REST 및 인증 트래픽을 처리합니다. 제품 지원 종료(EOL)가 되면 상류에서 문제를 해결할 방법이 없습니다.
EOL 릴리스 라인의 모든 심각도 수준에 걸친 CVE 취약점을 수정함으로써, HTTP, 보안 정책 및 역직렬화 공격이 악용하는 취약점을 차단합니다.
SLA에 기반한 패치 배포는 심각도에 따라 결정됩니다
사용자님의 2.16 또는 3.20 버전에 적용된 수정 사항
핵심, HTTP, REST, 보안 및 데이터 관련 내용
규정 준수
위험 요소: CRA, DORA, NIS2, PCI DSS 및 SOC 2 기준에 따라 시정 방안이 없는 미해결 감사 지적 사항.
모든 빌드에는 감사관 및 스캐너 도구가 활용할 수 있는 VEX 문장이 포함되어 있으므로, 지원되지 않는 종속성 관련 지적 사항을 해결했다는 문서화된 증거를 확보할 수 있습니다.
SOC 2, PCI DSS, HIPAA, FedRAMP에 대한 준수
DORA, NIS2, EU 사이버 복원력 법 등
VEX 문 및 문서화된 패치 내역
비즈니스 연속성
위험 요소: Quarkus의 메이저 버전을 강제로 업그레이드하면, 서비스가 의존하고 있는 Jakarta EE, MicroProfile 및 확장 계약이 깨질 수 있습니다.
버전 변경 시 애플리케이션 코드를 수정할 필요 없이 바로 교체할 수 있는 드롭인(drop-in) quarkus-bom을 사용하면, 본인의 일정에 맞춰 Quarkus 기반 서비스를 마이그레이션할 수 있습니다.
이전을 완료하기까지 수개월 또는 수년의 여유가 있다
재작성 없음, 확장 기능 오류 없음
강제 프레임워크 마이그레이션 비용의 일부에 불과함

생태계 파트너십
커먼하우스 재단(Commonhaus Foundation)은 Jackson( Jackson)을 비롯한 커뮤니티 주도의 오픈소스 프로젝트들을 포용하는 비영리 단체로, 이러한 프로젝트들의 장기적인 관리와 지속 가능성을 보장합니다. 히어로데브스(HeroDevs)는 커먼하우스 재단의 오픈소스 지속 가능성 이니셔티브(OSSI)의 창립 멤버가 된 것을 자랑스럽게 생각합니다. 히어로데브스는 커먼하우스와 협력하여 보안에 중점을 둔 이 이니셔티브를 설립했으며, 지원 종료된 버전에 Never-Ending Support (NES) 을 제공하고 있습니다. Jackson및 커먼하우스 재단이 관리하는 기타 오픈소스 프로젝트의 지원 종료 버전에 대해 ‘네버-엔딩 지원(NES)’을 제공하고 있습니다.
NES를 설치하는 날, 무엇이 달라질까요?
그 전 — 고통
귀사의 서비스는 지원 종료(EOL)된 Quarkus 라인에서 실행되고 있습니다.
스캐너는 모든 빌드를 탐지합니다. 업스트림 패치는 제공되지 않습니다. 새로운 HTTP 또는 보안 정책 관련 CVE가 공개되면, 마이그레이션을 완료할 때까지 공개 시점과 악용 시점 사이의 시간적 간격이 계속 유지됩니다.
그 후 — HeroDevs와 함께
NES는 패치 경로를 복원합니다
quarkus-bom 버전 교체는 지원 대상 확장 기능 전반에 걸쳐 SLA가 보장되는 CVE 패치를 다시 적용하며, 사용자의 API 및 애플리케이션 동작에는 아무런 변화가 없습니다.
그 전 — 고통
답이 없는 미해결 문제
내부 감사, SOC 2, 그리고 고객 보안 설문조사 모두 귀사의 EOL 상태인 quarkus-core를 문제점으로 지적하고 있습니다. 구독을 신청하거나 서둘러 업그레이드하는 것 외에는 해결책이 없으며, 감사관들에게 제시할 만한 타당한 답변도 없습니다.
그 후 — HeroDevs와 함께
조사 결과가 나오면 설문지는 저절로 답이 나옵니다
명명된, 공급업체가 지원하는 빌드로, 확약된 SLA 및 VEX 성명이 포함되어 있습니다. 스캐너는 더 이상 CVE를 탐지하지 않으며, 사용자는 PCI DSS, HIPAA, SOC 2, DORA 및 NIS2에 부합하는 런타임을 참조하게 됩니다.
그 전 — 고통
출시 주기 대 로드맵
Quarkus 버전을 건너뛰면 Jakarta EE, MicroProfile 및 확장 기능의 변경 사항으로 인해 서비스가 정상적으로 작동하지 않을 수 있습니다. 매달 새로운 버전을 따라가거나 LTS 버전을 서둘러 업그레이드하면 엔지니어들이 로드맵에서 벗어나게 됩니다.
그 후 — HeroDevs와 함께
정해진 주기가 아니라 본인의 상황에 맞춰 마이그레이션하세요
바로 적용 가능한 BOM — 코드 변경이 필요 없습니다. 팀은 현재 운영 중인 라인이 보안, 규정 준수 및 안정성을 유지하는 동안, 적절한 업그레이드 계획을 세울 수 있는 여유를 확보하게 됩니다.
quarkus-core뿐만이 아닙니다 .
Quarkus용 NES는 대부분의 서비스가 실제로 의존하는 확장 기능, 즉 런타임 및 CDI 코어, HTTP, REST 및 메시징 계층, 그리고 보안, 신원 및 지속성 확장 기능을 포괄합니다.
코어 및 런타임
엔진
quarkus-core
quarkus-arc (CDI)
quarkus-vertx
bootstrap
HTTP, REST 및 메시징
가장자리
quarkus-rest
quarkus-resteasy
quarkus-vertx-http
quarkus-grpc
quarkus-rest-client
smallrye-반응형 메시징
보안, 데이터 및 플랫폼
접착제
quarkus-보안
quarkus-oidc
quarkus-smallrye-jwt
hibernate
quarkus-agroal
postgresql
구축이 간편하며, 서비스 중단이 없습니다.
레지스트리 추가
pom.xml 또는 settings.xml에서 registry.herodevs.io를 Maven 리포지토리로 등록하십시오 .
토큰 설정하기
빌드 과정에서 패치된 아티팩트를 가져올 수 있도록 settings.xml 파일에 HeroDevs 인증 토큰을 추가하세요.
BOM 교체하기
quarkus-bom을 -nes 빌드 및 재빌드 대상으로 지정합니다. 애플리케이션 코드는 변경되지 않습니다.
스캐너 통과
적극적으로 패치가 제공되고 상용 지원이 이루어지고 있으므로, 지원 종료(EOL)된 Quarkus에 대한 CVE 발견 건은 종결됩니다.
모든 표준, 프레임워크 또는 규정에 대해 타당한 답변
EOL 소프트웨어는 전 세계 규제에 따른 패치 관리 기대치를 저해합니다. NES는 정기적인 유지보수가 이루어지고 공급업체의 지원을 받는 빌드를 제공하며, 확약된 SLA와 문서화된 패치 이력을 통해 감사관 및 규제 당국에 규정 준수 여부를 입증할 수 있도록 지원합니다.
PCI DSS
요구사항 6.3.3에 따르면, 알려진 중대 및 고위험 취약점은 30일 이내에 패치해야 합니다. 업스트림 패치가 제공되지 않는 EOL(지원 종료) 상태의 Quarkus를 사용할 경우 규정 준수 요건을 충족하지 못하게 됩니다. NES는 패치 경로를 복원합니다.
HIPAA
지원되지 않는 프레임워크를 사용하면 ePHI를 처리하는 시스템에 대해 합리적인 보안 조치를 마련하기 어렵습니다. NES는 적극적인 유지 관리와 위험 완화를 제공합니다.
SOC 2
신뢰 서비스 기준은 취약점에 대한 적시적인 조치와 패치 관리를 요구합니다. EOL(지원 종료) 의존 항목은 이를 보완할 수 있는 지원 경로가 없는 한, 감사 과정에서 중대한 지적 사항으로 제기됩니다. NES가 바로 그러한 지원 경로입니다.
NIS2
제21조는 패치, 취약점 및 공급망 관리를 다룹니다. 유지보수 및 지원 체계가 없는 EOL(지원 종료) 소프트웨어를 계속 사용하면 위험이 발생하며, NIS2는 운영자가 이러한 위험을 적극적으로 완화할 것을 요구합니다.
DORA
DORA는 수명 종료(EOL) 소프트웨어를 금융 ICT 자산의 복원력 취약점으로 간주합니다. NES는 지속적으로 유지 관리되는 빌드와 문서화된 패치 관리 프로그램을 제공합니다.
사이버 복원력법
디지털 요소가 포함된 제품의 소프트웨어 수명 주기 보안을 관리합니다. NES는 보장 기간 동안 EOL(제품 수명 주기 종료)된 Quarkus 제품군에 대해 유지보수 및 패치가 적용된 빌드를 제공합니다.
NIST CSF 2.0
PR.PS-02 지침에 따르면, 조직은 위험 수준에 따라 취약점이 있는 소프트웨어를 적극적으로 유지 관리하거나 제거해야 합니다. NES를 사용하면 강제 업그레이드 없이도 규정 준수를 달성할 수 있습니다.
FedRAMP
지속적인 모니터링은 정해진 주기에 따라 결함을 수정할 것을 요구합니다. 패치가 적용되고 공급업체가 지원하는 빌드는 ISSO가 EOL(지원 종료) 상태인 Quarkus를 승인 범위 내에 계속 포함시키는 것을 정당화할 수 있는 문서화된 수정 절차를 제공합니다.
상업 계약
취약점 및 구성 관리 통제 조치에는 기술적 취약점을 파악하고 소프트웨어를 보안 기준 범위 내에 유지하는 것이 필요합니다. NES는 지원 종료(EOL) 소프트웨어에 대해 이러한 보안 상태를 복원합니다.
사용자가 실행하는 프로그램에 패치를 적용하는 보안 엔지니어들이 개발했습니다.
모든 NES for Quarkus 빌드는 해당 버전 계열에서 지원되는 확장 기능에 대한 알려진 CVE를 해결하며, 사용자의 스캐너가 표시하는 보안 권고 사항과 연계된 VEX 문 및 릴리스 노트를 함께 제공합니다.
HeroDevs는 CVE 번호 부여 기관이자 Commonhaus 오픈 소스 지속 가능성 이니셔티브의 창립 회원사로, Java 오픈 소스의 발전을 이끄는 유지보수 담당자와 생태계에 자금을 지원하고 있습니다.
CVE 번호 부여 기관
HeroDevs가 다루는 제품에서 CVE의 발견 및 공개.
모든 빌드마다 VEX
스캐너에서 읽을 수 있도록 처리되었습니다
약정된 SLA
중요도에 따른 패치 배포
자주 묻는 질문
NES는 고객이 해당 버전을 사용하기로 결정한 기간 동안 전폭적인 지원을 제공하도록 설계되었습니다. 많은 고객은 NES를 계획된 업그레이드로 넘어가는 과도기 단계로 활용합니다. 반면, 해당 버전이 자신의 요구 사항을 충족하기 때문에 NES를 무기한으로 계속 사용하는 고객도 있습니다. 두 경우 모두 지원 대상 사용 사례입니다.
네. NES는 확약된 SLA, VEX 명세서, 문서화된 패치 이력이 포함된 유지 관리된 빌드를 제공합니다. 이러한 요소들은 종합적으로 감사관들이 PCI DSS 6.3.3, SOC 2 신뢰 서비스 기준, NIS2 제21조, DORA, EU 사이버 복원력 법 등 다양한 규정에 대해 기대하는 증거를 제공합니다.
즉, quarkus-bom 버전을 NES 태그로 변경한 후 다시 빌드하면 됩니다. 애플리케이션 코드, 확장 기능 및 API는 변경되지 않습니다. 빌드 결과물은 CVE 수정 사항이 적용된 상태에서, 현재 사용 중인 EOL Quarkus와 동일한 런타임 동작을 보여줍니다.
NES for Quarkus는 가장 널리 배포된 두 가지 EOL LTS 라인인 Quarkus 2.16.x 및 Quarkus 3.20.x를 지원합니다. 귀하의 서비스가 다른 Quarkus 라인에서 실행되는 경우, 지원 여부에 대해 논의하기 위해 당사에 문의해 주시기 바랍니다.
Quarkus용 NES는 HeroDevs에서 배포하는, 지원 종료된 Quarkus 릴리스 라인의 공식 지원 빌드입니다. 이 빌드에는 약정된 SLA에 따른 CVE 수정 사항, 감사자 및 스캐너 도구가 활용할 수 있는 VEX 문, 그리고 애플리케이션 코드를 변경하지 않고도 팀이 바로 적용할 수 있는 드롭인(drop-in) quarkus-bom이 포함되어 있습니다.
문의하기
오픈소스 라이브러리에 대한 네버엔딩 지원에 대해 궁금한 점이 있으신가요? 저희가 도와드리겠습니다!
히어로데브스 NES 제품이 시스템을 안전하게 보호하고 규정을 준수하는 방법을 알아보세요.
당사 솔루션이 조직에 어떤 가치를 제공할 수 있는지 알아보세요.
필요에 맞는 자세한 가격 정보를 확인하세요.
Java 및 JVM 보안 및 규정 준수 업데이트를 놓치지 마세요
모든 기사 보기

.png)
