オープンソースの公式サポート終了後も、最小限のコストで安全に脆弱性対応を可能にする「TuxCare ELS」提供開始[PR]
OSやプログラミング言語のランタイムのアップデートは、プログラマやシステム運用者にとって常に悩みのタネだといえます。
一般に、数年ごとに発生するOSや言語のランタイム、ライブラリなどのメジャーアップデートのサイクルと比べて、アプリケーションの寿命はそれよりも長いものになりがちです。
そうしたライフサイクルの差が特に問題となるのが、アプリケーションの実行環境としている特定のバージョンのプログラミング言語のランタイムやライブラリなどがサポートを終了してしまうケースでしょう。
一般にランタイムは2~3年でEOLを迎える
例えば、マイクロソフトの.NETは長期サポート版における公式サポート期間が3年となっており、2023年11月にリリースされた長期サポート版の「.NET 8」は今年(2026年)11月でサポート終了となります。
PHPでは、安定版のリリースから2年間がアクティブサポート期間となり、その後にセキュリティサポート期間が2年。合計4年の後にそのバージョンはEOL(End of Life)です。
Node.jsでは、長期サポートバージョンとなる偶数バージョンではリリースから30カ月(2年6カ月)のあいだ重大なバグ修正が保証され、その後にサポート終了を迎えます。
アプリケーションが依存している言語ランタイムやライブラリ、フレームワークのサポート期間が終了した場合、その後に発見されたバグや脆弱性の修正は行われず、セキュリティ上の問題が生じます。そのため、新バージョンへの移行が求められます。
ランタイムのバージョンアップは生産的とはいえない
しかしほとんどの場合、稼働中のアプリケーションの言語ランタイムやライブラリのバージョンアップは容易ではなく、生産的でもありません。
たとえ新バージョンが前バージョンと互換性があると説明されていたとしても、言語ランタイムやライブラリはバージョンアップによって非互換による不具合を生じやすいため、一般的には入念なアプリケーションの動作についての再テストが必要になります。もしも非互換が発見されれば、問題を特定した上でアプリケーションの修正を行い、改めてビルドやテスト、デプロイをすることになります。
これは、本来であればビジネスやサービスの向上と改善に使うべきプログラマの工数やコストを、既存アプリケーションの互換性確保という、ある意味で非生産的な作業に投入することとなるため、必要最低限に抑えるべき作業といえます。
であれば、最小限のコストでアプリケーションの動作を維持できる選択肢を優先的に検討すべきでしょう。
TuxCare ELSは公式サポート後も脆弱性に対応
そのためのソリューションの1つが、サイバートラストが日本国内で展開する「TuxCare ELS」です。
TuxCare ELSは、オープンソースソフトウェアのコミュニティによる公式サポート終了後も、新たに発見された脆弱性に対する修正を継続的に提供するサービスです。本サービスでは、言語ランタイムやライブラリ自体のバージョンは維持したうえで、公式サポート終了後に発見された脆弱性の修正を独自に取り込んだものを提供します。
これにより公式サポート終了後も引き続き特定のバージョンの言語ランタイムやライブラリなどを安全に使い続けることができるようになります。
TuxCare ELSでは、複数の言語ランタイムやライブラリ、フレームワークなどを一括でサポートできること、そしてなにより国内企業の提供による日本語での問い合わせサービスを受けられることが大きな利点です。
TuxCare ELSを日本国内で展開するサイバートラストは、もともと2000年にミラクル・リナックス社として企業向けLinuxディストリビューションの開発を始めて以来、オープンソースに関する深い知見を持つ企業として活動を続けてきました。2017年に日本初の商用電子認証局を開始したサイバートラストと合併したことで、現在の社名となっています。
主要なランタイムに対応、今後も拡大
TuxCare ELSは前述の通り、オープンソースの公式サポートが終了した後も、継続的に脆弱性への対応を提供するサービスです。
OpenJDK、.NET 6、PHP、Python、AngularJS/Angular、Spring Framework、Anapche Tomcatなど主要なオープンソースの言語ランタイムやライブラリ、フレームワークに対応しており、今後も対応範囲を順次拡大予定です。
対応OSはAlmaLinux、RHEL、Ubuntu、Oracle Linux、CentOS、Rocky Linux、Debianなど幅広く、現在利用されているLinux OSで標準提供されているランタイム環境との同居や並行利用が可能です。
また、万が一、TuxCare ELSを適用後にトラブルが生じた場合、実行パスの切り替えのみで元のランタイムに切り戻すことも容易になっています。
標準パッケージとソースコードの2形態で提供
TuxCare ELSの提供形態は2つ。OS標準のパッケージで提供する形態と、ソースコードで提供する形態です。
OS標準パッケージでの提供は、TuxCare ELS専用のリポジトリサーバからOSに対応したパッケージ形式(.rpmもしくは.deb)で提供されます。
PHPやPython、OpneJDK、.NET 6はこの形式で提供され、今後Node.jsも提供予定です。
OS標準パッケージで提供された場合、実行パスを修正していただく必要はありますが、通常であればアプリケーションの改修やリビルドは不要です。
一方、Spring FrameworkやAngularJS、Next.js、Apache Hadoopなどソースコードで提供される形態では、TuxCare ELS専用のリポジトリサーバから、ソースコードもしくはJAR形式のファイルで提供されます。
この場合は、アプリケーションの再コンパイルや再ビルドが必要となります。
物理サーバや仮想サーバ、コンテナでの利用に適切なプラン
TuxCare ELSは年間のサブスクリプション契約となっており、物理サーバや仮想サーバ、少数のコンテナでの利用に適した「サーバプラン」と、多数のコンテナで利用するのに適した「コンテナプラン」。さらに、対象アプリケーションの開発を行っている開発者による利用に適した「開発者プラン」(5人以上)が用意されています。
価格はオープンプライスとなっているため、提供元のサイバートラストにぜひお問い合わせください。
≫TuxCare ELS - OSS 延長サポート| サイバートラスト
(本記事はサイバートラスト提供のタイアップ記事です)
あわせて読みたい
