Aikido
無料で始める
CC不要
ブログ
/
製品および会社のお知らせ

AikidoとTuxCareによるレガシー依存関係の保護

執筆者
Trusha Sharma
公開日:
2025年7月15日

TL;DR 私たちはTuxCareと提携しました。これにより、レガシーな依存関係の脆弱性を、書き換えやリスクのあるアップグレードなしに即座に修正できます。セキュアで、コンプライアンスに準拠し、トレードオフなしに開発を継続できます。詳細については続きをお読みいただくか、ドキュメントをご確認ください。

エンジニアリングチームが規模を拡大するにつれて、サードパーティライブラリの脆弱性管理は、安全かつ迅速なリリースを妨げる最大の障壁の1つとなります。人気のあるオープンソースパッケージがEOL(サポート終了)に達すると、セキュリティチームと開発チームはしばしば対立します。セキュリティチームはCVEに対処するために即時アップグレードを求めますが、開発者は、数週間から数か月にわたってデリバリーを遅らせる可能性のある破壊的変更に直面します。

コアとなる依存関係のアップグレードは、単なるバージョンアップに留まらず、抜本的なリファクタリング、アプリケーションの書き換え、広範な再テストを意味する場合があります。多くの組織にとって、セキュリティと開発速度の間のこのトレードオフは、運用上の停滞を引き起こします。

AikidoとTuxCareのパートナーシップの力

これを解決するため、AikidoとTuxCareは協力し、AikidoのAutofixを通じて直接Extended Lifecycle Support (ELS)を提供しています。このパートナーシップは、Aikidoの自動修復ワークフローと、EOLライブラリ向けに強化され継続的にパッチが適用されたパッケージを提供するTuxCareの専門知識を組み合わせたものです。

TuxCare はすでにオープンソースソフトウェアで5,000以上のCVEを解決しており、EOL後のセキュリティにおける信頼できるパートナーとなっています。ELSパッケージをAutofixに直接統合することで、Aikidoはチームがレガシーな依存関係を保護し、大きなバージョン変更や破壊的な書き換えなしに進むのを支援します。

仕組み

Aikidoがアプリケーションをスキャンすると、古い依存関係を特定し、既知の脆弱性を明らかにします。最新の(そして互換性を損なう可能性のある)メジャーバージョンへのアップグレードを要求する代わりに、AikidoはTuxCareがメンテナンスする安全なELSパッケージを提案するようになりました。

これらのELSパッケージは、ドロップインで置き換え可能です。例えば、メンテナンスされていないSnakeYAMLのv1を使用しているチームは、 1.33.tuxcare.1 2.xへの移行なしに、重要なCVEにパッチを適用できます。この原則は、log4j 1.xのような他の広く使用されているパッケージにも適用されます。log4j 1.xは2015年以降メンテナンスされていませんが、エンタープライズのコードベースでは依然として一般的です。

Aikido Autofixは、依存関係をELSバージョンに更新し、必要なリポジトリ設定を含む、マージ可能なプルリクエストを生成します。チームは、不安定性を招いたり、機能開発を遅らせたりすることなく、セキュリティ問題を直ちに解決できます。

セキュリティチームと開発チーム間の摩擦を解消

セキュリティと開発の間のギャップを埋めるには、強固なセキュリティ体制と継続的デリバリーという両方の優先事項を尊重するソリューションが必要です。AikidoとTuxCareの統合アプローチにより、チームは以下を行うことができます。

  • 破壊的なアップグレードを回避する: 大規模なリファクタリングや破壊的変更なしに依存関係を保護します。
  • CVE解決の迅速化: 脆弱性を数週間や数ヶ月ではなく、数日でパッチ適用します。
  • コンプライアンスの維持: EOLパッケージのリスクに対処し、規制要件を満たして監査に合格します。
  • エンジニアリングのオーバーヘッドを削減: 依存関係の更新対応に追われるのではなく、チームのキャパシティを解放して製品改善に集中できるようにします。

使用例: ELSによるJavaプロジェクトのセキュリティ確保

一般的なJavaプロジェクトでは、SnakeYAMLやlog4jのような重要な依存関係を新しいメジャーバージョンに更新するには、数週間のエンジニアリング時間、広範なテスト、およびリスクの高い本番デプロイメントを要する場合があります。

ELSを使用すると、チームは強化されたバージョン(例えば、 log4j 1.2.17.tuxcare.1)を適用し、既知のCVEにパッチを適用できます。アプリケーションロジックを変更することなく、セキュリティ問題がより迅速に解決され、エンジニアリングの労力が最小限に抑えられ、リリースが予定通りに進みます。

安全なレガシーコードの未来

At Aikidoでは、開発者はスピードとセキュリティのどちらかを選択する必要はないと考えています。TuxCareとのパートナーシップは、EOL後のセキュリティを実用的かつスケーラブルにするための大きな一歩であり、これにより開発に集中できます。

これは始まりに過ぎません。ELSのサポートは現在Javaで利用可能であり、JavaScript、Python、.NET、PHP、Rubyなどの追加言語も近日中に対応予定です。

AikidoとTuxCareが、ロードマップを遅らせることなくレガシーコードを保護するのにどのように役立つか、詳細をご覧ください。こちらから開始 →

最終更新日:
2025年7月16日
共有:

https://www.aikido.dev/blog/securing-open-source-dependencies-with-aikido-and-tuxcare

脅威ニュースをサブスクライブ

今すぐソフトウェアを保護します。

今日から無料で始めましょう。

無料で始める
CC不要
関連記事
すべて表示
すべて表示
2026年2月24日
製品および会社のお知らせ

設計上どのようにAikidoが、AIペネトレーションテストエージェントを確実に保護するのか

学び方 Aikido が、アーキテクチャの分離、実行時のスコープ強制、ネットワークレベルの制御により、AIペネトレーションテストエージェントを保護し、本番環境のドリフトやデータ漏洩を防ぐ方法を学びましょう。

#
AI ペネトレーションテスト
#
AI安全性
#
AI
2026年2月16日
製品および会社のお知らせ

検知から予防へ:Zen実行時にIDOR脆弱性に対処する方法

IDOR脆弱性は、マルチテナントSaaSにおけるテナント間データ漏洩の最も一般的な原因の一つです。Zen クエリを分析し、出荷前に安全でないアクセスを防止することで、実行時にテナント分離をどのようにZen をご覧ください。

#
RASP
2026年2月13日
製品および会社のお知らせ

アップグレード影響分析のご紹介:コードに実際に影響を与えるブレイキングチェンジとは

Aikido 依存関係のアップグレードにおける互換性のない変更を自動的に検出し、コードベースを分析して実際の影響を表示するため、チームは安全にセキュリティ修正をマージできます。

今すぐ、安全な環境へ。

コード、クラウド、ランタイムを1つの中央システムでセキュアに。
脆弱性を迅速に発見し、自動的に修正。

スキャンを開始
CC不要
デモを予約する
クレジットカードは不要です | スキャン結果は32秒で表示されます。