私は最近、VOS 14.7 で OpenSSL を実行しているお客様にはContinuum でアップデートを提供しているのに、なぜ VOS 17.0 より前のリリースの VOS で OpenSSL を実行しているお客様にはセキュリティアップデートを提供しないのかという質問を受けました。一見すると、これは一貫性のないポリシーのように思えます。OpenSSL は、私たちが VOS オペレーティングシステムに提供している最もセキュリティに敏感な製品の一つですので、私たちがどのように管理しているのかを理解することが重要です。
まず、これまでに提供してきた、あるいは現在も提供している OpenSSL のバージョンを簡単にレビューします。
1.OpenSSL for VOS Release 1.0, based on Version 0.9.7c,Continuum platform, Base release VOS 14.7, released 1月 2005; OpenSSL 0.9.7c dates from 9月 2003; OpenSSL 0.9.7c。
2.OpenSSL for VOS Release 2.0, based on Version 0.9.7e, V Series platform, Base release VOS 15.1, released 8月 2005; OpenSSL 0.9.7e dates from 10月 2004; OpenSSL 0.9.7e.
3.OpenSSL for VOS Release 1.1, based on Version 1.0.0,Continuum platform, Base release VOS 14.7, released 5月 2011; OpenSSL 1.0.0 dates from 3月 2010.
4.4. Internet Security Pack for OpenVOS Release 2.1 (OpenSSLを含む)は、バージョン1.0.0.0、ベースリリースOpenVOS 17.0、2011年5月リリースに基づいています。
5.OpenSSL for VOS Release 1.1.1.1, based on Version 1.0.0k,Continuum platform, Base release VOS 14.7, released 3月 2014; OpenSSL 1.0.0k dates from 2月 2013.
6.Internet Security Pack for OpenVOS Release 2.1.1c (OpenSSLを含む)、バージョン1.0.0k、V Series プラットフォーム、ベースリリースOpenVOS 17.0、2014年3月リリース。
この製品は2005年に最初にリリースされ、2001年に更新され、今年の初めに再び更新されたことに注意してください。私たちが製品を更新するとき、私たちはソースコードベース全体を、作者によってリリースされた現在のバージョンに更新します。これには、すべての新しい特長 、バグ修正、セキュリティパッチが組み込まれています。これらのメジャーアップデートの間には、セキュリティパッチ、移植問題の修正、または (時折) 重要なバグ修正のみを適用します。
私たちは、セキュリティパッチのリリースを知るために、OpenSSL メーリングリストを熱心に監視してきました。私たちはすぐに、これらの変更を含む新しいバグフィックスリリースを作成し、 http://openvos1.stratus.com からダウンロードできるようにしました。openssl_RELEASE_updates.memo" には、私たちが適用したセキュリティパッチのリストが含まれています (RELEASE の文字列はリリース名に置き換えてください; 例: 1.1.1.1)。
しかし、我々は最新のバージョンを更新するだけで、現在はリリース1.1.1と2.2.1になっています。
オープンソースのソフトウェアを使い慣れていないお客様は、なぜ古い以前のリリースにセキュリティパッチを適用しないのか理解できないかもしれません。オープンソースコミュニティは、セキュリティパッチの公開に関してはかなり責任を持って行動していますが、一般的にはあまり多くのリリースについて過去に遡ることはありません。これは、私たち (Stratus VOS) が出すリリースよりも多くのリリースを出しているからです。また、顧客が (RPM、APT、または YUM 経由で) パッケージ全体をアップグレードし、非常に簡単にアップグレードできるような世界で運営されていることも理由の一部である。私たちは彼らをコントロールすることはできませんし、彼らがどこまで遡るかをコントロールすることもできません。私たちは彼らのコードも知らないし、これは非常に重要なポイントです。もし彼らが古いバージョンのバグフィックスやセキュリティパッチを提供していなければ、私たちが自分たちで正確なパッチを作成できる可能性は非常に低いでしょう。
そのため、私たちはセキュリティの修正が入ったときには、オープンソース製品の最新のリリースを更新することを選択しています。その場合でも、パッチだけではなく、ソースコードベース全体を更新しなければならないこともあります。このため、3月にOpenSSL 1.1.1.x/2.1.1.xのソースコードベースを更新しました。OpenSSL 1.1.1.x と 2.1.x は同じソースコードを使用しています。これは、2つのリリースを維持するためのタスクを単純化するために、私たちの側で意図的に決定したものです。
OpenSSL の旧バージョン (1.0、2.0) をご利用のお客様は、それぞれ 11 年、10 年前のソフトウェアをご利用になっています。我々は2011年5月に後継製品をリリースしました。つまり、私たちの顧客は、VOS とこれらのレイヤ製品の現在の完全にサポートされたリリースにアップグレードするのに 3 年の時間があったということです。確かにそれはすべての顧客のための十分な時間です。確かに、これは"Heartblead"のようなバグを回避したい顧客がVOSリリースに追従しなければならないことを意味しますが、OpenSSL 2.1.xは少なくともOpenVOS 17.0のベースリリースを必要とします。私は、ソフトウェアの最新リビジョンに対応することは、どのショップにとっても基本的な機能であると主張したいと思います。オープンソースの世界では、これまで以上に重要です。
この点についてご質問やご不明な点がある場合は、ストラタスカスタマーサービスまたは担当のアカウントエグゼクティブまでお問い合わせください。