ビジョナルは2025年10月27日、グループ会社アシュアードの脆弱性管理クラウドサービス「yamory(ヤモリー)」において、ソフトウェアのマニフェストファイルからランタイムのEOLを検出する機能を追加したと発表した。システム全体をスキャンしなくてもアプリケーションごとにEOLチェックが可能になった。
アシュアードの「yamory(ヤモリー)」は、ソフトウェアの脆弱性を自動で検出し、対応策を通知するクラウドサービスである。ソフトウェアに含まれるオープンソースソフトウェア(OSS)を抽出して脆弱性データベースと照合し、サイバー攻撃の危険度などを基に対応の優先度を自動で分類する(画面1、関連記事:脆弱性管理クラウド「yamory」、組み込み開発に使われるC/C++の脆弱性をスキャン可能に)。
画面1:「yamory」のダッシュボード画面例(出典:アシュアード)拡大画像表示
今回、アプリケーションの実行環境であるランタイム(Node.js、JAR、PHPなど)が旧バージョンとなってEOL(End Of Life:サポート終了)になっているか否かを、開発者が画面上で確認できる機能を追加した(画面2)。「サポートが終了したランタイムは、脆弱性を修正するパッチが提供されなくなるので、EOLの把握が重要である」(同社)ことから機能追加に至った。
なお、2023年11月に、主要なOSS(カスタマイズで管理対象に追加可能)のサポートEOLを管理する機能をリリースしており、今回の機能はその対象をランタイムにも広げたかたちである(関連記事:脆弱性管理クラウド「yamory」、ソフトウェアのEOLを検知して通知する機能)。
画面2:「yamory」のEOL検出機能の画面例。JavaScriptソフトウェアのマニフェストファイル(package.json)からランタイム(Node.js)のバージョン情報を取得し、EOLを検出・警告する(出典:アシュアード)拡大画像表示
仕組みとして、スキャン対象ソフトウェアのマニフェストファイル(Node.jsならpackage.json、JARならMANIFEST.MF)からランタイムのバージョン情報を取得する。その情報をyamoryの脆弱性データベースと照合し、ランタイムのEOLを自動で検出する。
yamoryは、システムに含まれるソフトウェア全体のスキャン、またはSBOM(ソフトウェア部品表)のインポートによって、ソフトウェア構成情報を取得している。今回追加したマニフェストファイル参照機能によって、インフラ全体を管理するシステム管理者から情報を入手する必要なく、開発者自身でEOLに気づきやすくなる。
