Slide 6
Slide 6 text
OSS Support バージョンを追従しないことのリスクは?
• バグフィックス、セキュリティアップデートがコミュニティでサポートされなくなります
• 例: CVE-2022-22965 (Spring4Shell) 脆弱性への対応
• 2022-03-30: Spring Framework でリモートコード実⾏が可能な脆弱性が話題に上がる
• 2022-03-31: Spring Team は脆弱性を修正する Spring Framework 5.3.18, 5.2.20 を公開
• 加えて、Spring Framework 5.3.18 に dependency を持つ Spring Boot 2.5.12, 2.6.6
を公開
• Spring Boot 2.4.x, 2.3.x などは OSS Support 外であったため、対応されませんでした
• 脆弱性の条件に当たる場合、各⾃で Workaround 等の対応を取るしかなくなってしまう
なので、OSS support に追従する事は⾮常に⼤切です