Aikido 保護する

トルシャ・シャルマ

#オートフィックス

#AppSec

#アスム

掲載日

2025年7月15日

最終更新日

2025年7月16日

要約：TuxCareとの提携により、レガシー依存関係の脆弱性を即座に修正可能に。書き換えやリスクの高いアップグレードは不要です。セキュリティとコンプライアンスを確保しつつ、妥協なく開発を継続できます。詳細なローンチ情報はこちら、またはドキュメントでさらに深くご確認ください。

エンジニアリングチームが拡大するにつれ、サードパーティライブラリの脆弱性管理は、安全かつ迅速なリリースを阻む最大の障壁の一つとなる。人気のあるオープンソースパッケージがサポート終了（EOL）を迎えると、セキュリティチームと開発チームの間で対立が生じることが多い。セキュリティチームはCVE対応のため即時アップグレードを要求する一方、開発者は数週間から数ヶ月にわたる遅延を招く可能性のある互換性のない変更に直面する。

コア依存関係のアップグレードは単なるバージョンアップではなく、大規模なリファクタリング、アプリケーションの再構築、そして広範な再テストを意味する場合があります。多くの組織にとって、セキュリティと開発速度のこのトレードオフは、運用上の停滞を引き起こします。

Aikido TuxCareの提携の力

この問題を解決するため、AikidoとTuxCareは提携し、Aikido直接拡張ライフサイクルサポート（ELS）を提供します。この提携により、Aikido修復ワークフローと、TuxCareが持つEOLライブラリ向けに強化され継続的にパッチ適用されたパッケージを提供する専門知識が組み合わさります。

TuxCareはオープンソースソフトウェアにおいて既に5,000件以上のCVEを解決しており、サポート終了後のセキュリティ対策において信頼できるパートナーとなっています。Aikido はELSパッケージをAutofixに直接統合することで、チームがレガシー依存関係を保護し、大幅なバージョン変更や業務を妨げる書き換えなしに前進し続けられるAikido 。

仕組み

Aikido 、古い依存関係を特定し既知の脆弱性を検出します。最新の（互換性が損なわれる可能性のある）メジャーバージョンへのアップグレードを要求する代わりに、Aikido TuxCareが保守する安全なELSパッケージを提案します。

これらのELSパッケージはドロップイン置換です。例えば、メンテナンスされていないSnakeYAMLのv1を使用しているチームは、 1.33.tuxcare.1 2.xへの移行なしに重大なCVEを修正する。この原則は、2015年からメンテナンス終了しているにもかかわらず企業コードベースで依然として広く使用されているlog4j 1.xのような他の広く使われているパッケージにも適用される。

Aikido 、依存関係をELSバージョンに更新し、必要なリポジトリ設定を含む、マージ準備完了のプルリクエストを生成します。チームは、不安定性を招いたり機能開発を遅らせたりすることなく、セキュリティ問題を即座に解決できます。

セキュリティチームと開発チーム間の摩擦の解消

セキュリティと開発の間の隔たりを埋めるには、両方の優先事項——強固なセキュリティ体制と継続的デリバリー——を尊重するソリューションが必要です。Aikido TuxCareの統合アプローチにより、チームは以下のことが可能になります：

破壊的なアップグレードを回避する：大規模なリファクタリングや互換性を損なう変更なしに依存関係を保護する。
CVE解決を加速：脆弱性を数週間や数ヶ月ではなく、数日で修正する。
コンプライアンスを維持する：EOLパッケージのリスクに対処し、規制要件を満たし、監査を通過する。
エンジニアリングのオーバーヘッドを削減：チームのキャパシティを解放し、依存関係の更新対応といった緊急対応ではなく、製品改善に集中できるようにする。

使用例：ELSによるJavaプロジェクトのセキュリティ強化

典型的なJavaプロジェクトでは、SnakeYAMLやlog4jのような重要な依存関係を新しいメジャーバージョンに更新するには、数週間のエンジニアリング時間、広範なテスト、そしてリスクを伴う本番環境へのデプロイが必要となる。

ELSを利用することで、チームは強化版（例： log4j 1.2.17.tuxcare.1既知のCVEを修正するパッチを適用し、アプリケーションロジックを変更することなく実現します。これにより、セキュリティ問題が迅速に解決され、エンジニアリングの労力が最小限に抑えられ、リリース計画が順調に進みます。