弊社山下がJS7 Unixシェルコマンドラインインターフェイス (CLI)記事を公開しました
JS7でのCLIによるコントローラーステータス操作、ワークフローデプロイメント、ワークフローステータス操作、JOCコックピットステータス操作、Identityサービス操作、Git操作の一部の使用例を記載します。
Open Source Conference 2025 Tokyo/Springに出展・登壇します
2025年2月21-22日 10:00~18:00 駒澤大学 駒沢キャンパスにて開催されるオープンソースコンファレンス2025に出展・登壇します。ご来場をお待ちしています。
トップページ
https://event.ospn.jp/osc2025-spring/
タイムテーブル
1日目(2/21-金)
https://register.ospn.jp/osc2025-spring/modules/eventrsv/1.html
2日目(2/22-土)
https://register.ospn.jp/osc2025-spring/modules/eventrsv/2.html
展示ブース一覧
https://event.ospn.jp/osc2025-spring/exhibit
JS7®コントローラー/エージェントの自動登録スクリプト記事公開
JS7®では、JOCコックピット/コントローラー/エージェントのインストール後に、JOCコックピットのWEB GUIからコントローラー/エージェントを登録しなければいけませんが、スクリプトを使用してのコントローラー/エージェントの自動登録ができるようになりました。
弊社山下が連携方法記事を公開しましたのでお試しください。
https://qiita.com/Yoshitami/items/01b29099e3b7b9161f90
【事例公開】株式会社ラック様が、金融機関向けインフラ案件にOSSをベースにしたジョブ管理システム「JS7®JobScheduler」を採用
JS7オンプレミス環境への自動インストレーション機能記事公開
JS7® JobSchedulerでは各コンポーネント(JOCコックピット・コントローラー・エージェント)のインストレーションスクリプト(js7_install_joc|controller|agent.sh|ps1)を提供していましたが、V.2.6.xではそれらをまとめて自動インストレーションできるデプロイ管理機能が追加されました。
弊社山下が紹介記事を以下に公開しましたのでご覧ください。
JS7® JobScheduler オンプレミスでの自動デプロイ
https://qiita.com/Yoshitami/items/21878c35e5d07b454612
JobScheduler V.1系のバグフィックス終了について
JobScheduler V.1系は、
2022年1月にリリースされたV.1.13.11が一般公開された最終バグフィックス版であり、
LTS(Long Term Support)契約のお客様は、2022年12月に公開されたV.1.13.17が最新バグフィックス版となっています。
後継製品であるJS7 JobScheduler(V.2系)が2021年8月にリリースされましたので2023年8月が2年目にあたり、V.1系のLTSバグフィックスも今年8月に終了となります。
How long will you support the different versions of JobScheduler and YADE?
https://kb.sos-berlin.com/pages/viewpage.action?pageId=3638050
サブスクリプションサポート契約のお客様は、バグフィックス提供以外のQA/障害対応は継続されますが、将来的な機能修正/プラットフォーム対応/脆弱性対応はご提供できなくなりますので
後継製品であるJS7 JobScheduler (最新版はV.2.5.1)への移行をご検討ください。
V.1系のジョブ定義ファイルをV.2系に変換するコンバーターも用意されています。
JS7 - Migration of JobScheduler 1.x Job Configuration
https://kb.sos-berlin.com/display/JS7/JS7+-+Migration+of+JobScheduler+1.x+Job+Configuration
Spring Frameworkの任意のコード実行の脆弱性(CVE-2022-22965)について: CMDBuild
2022/4/1 JPCERT/CCよりSpring Frameworkの任意のコード実行の脆弱性(CVE-2022-22965) 別名: Spring4Shellに関するCyberNewsFlashが発表されています。詳細については、以下をご参照ください。
https://www.jpcert.or.jp/newsflash/2022040101.html
(CyberNewsFlashは、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。)
【以下抜粋】
対象となるバージョンは以下の通りです
- Spring Framework 5.3.0から5.3.17
- Spring Framework 5.2.0から5.2.19
- すでにサポート終了した過去のバージョン
VMWareによると、同社に報告された攻撃シナリオにおいては、攻撃が成功するためには次の条件が必要だったとのことです。ただし、本脆弱性の影響を受ける条件は他にも存在する可能性があると示唆されており、今後公開される情報を注視する必要があります。
-
JDK 9以上を使用している
-
Apache Tomcatをサーブレットコンテナーとして使用している
-
WAR形式でデプロイされている
-
プログラムがspring-webmvcあるいはspring-webfluxに依存している
CMDBuild V.3.1以降でJDK11を使用している場合、本脆弱性の影響を受ける可能性があります。
【回避策】
VMwareより、対策の適用が難しい場合の回避策に関する情報が公開されています。詳細および最新の情報については、VMwareが提供する情報を参照ください。
Spring Framework RCE, Early Announcement - Suggested Workarounds
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
Tecnoteca社では上記修正を含んだリリース(V.3.4-g)が公開されています。
CMDBuild V.3.4-gにすぐにバージョンアップできない場合は、Tomcat 9.0.62以降に変更することで本脆弱性の対応が可能です。
https://spring.io/blog/2022/04/01/spring-framework-rce-mitigation-alternative
JS7® JOCコックピット LDAP(AD)連携 記事公開
JS7® V.2.2.2よりLDAPのサポートが追加されました。
弊社山下が連携方法記事を公開しましたのでお試しください。
オープンソースチケット管理システム OTRSからOTOBO/Znunyへ
オープンソースのチケット管理システムとしては、ドイツのOTRS AG社が開発するOTRS (Open-source Ticket Request System)が最も有名でコミュニティも世界的に活発で、日本でも導入事例がたくさんありました。
2018年4月、OTRS AG社は製品戦略を変更し、次のバージョンOTRS7から、商用(有償)版を“OTRS”、OSS(無償)版を“((OTRS)) Community Edition”というブランドに変更すると同時に、OSS版は商用版の新版を2年遅れで実装することを発表しました。
ここまでは、いわゆる「コマーシャル・オープンソース」製品としてはよくある話で、OSSのマネタイズ戦略としてはいたしかないことかもしれません。
ところが2020年12月23日、OTRS AG社はOSS版のOTRS7のサポートを2021年1月1日から停止すると発表しました。この発表は突然であり、しかも発表から年末年始を挟んで8日後に停止するという暴挙で、サポートベンダーを含むコミュニティから困惑と怒りが巻き起こったようです。
そしてOTRS6まではGPLライセンスの元で ソース公開は続けられていますがダウンロードサイトは終了したため、閉じています。OTRS7以降はプロプライエタリライセンスとなりオープンソース製品ではなくなり、OSS版のユーザーは商用版を購入するか、別製品に切り替えるかを迫られました。
この辺りの事情は、この記事に詳しく書かれています。
フォークの登場
OTRS AG社の決定は唐突ではあるものの彼らの経営判断であり、コミュニティでは覆すことはできませんでした。しかし、OSS版OTRS6をフォークし拡張する製品が登場することにより、OSS版のユーザーはもう一つの選択肢を持つことができました。こういうことがあるのがオープンソースの一つの美点だと思います。
OTOBOは、2004年に最初の従業員として当時のOTRSGmbH(現在のOTRS AG)に加わり、2011年に退職するまでサポートと内部ITを担当していたStefan Rotherが創業した
ROTHER OSS GmbHによって開発され、有償サポートも提供しています。
特徴は完全に再設計された顧客インターフェースのモダンな外観です。
Znunyは、OTRS.orgのファウンダーの一人でありOTRS AG社のCTOであったMartin Edenhoferが2012年に創業したZnuny GmbH社が開発しており、こちらも有償サポートも提供しています。
国内でのサポート状況
国内では最も古くからOTRSをサポートしている株式会社アイオーアーキテクトがOTOBO/Znunyをサポートしており、以下アイオーアーキテクトさんのラボノートから引用します。
OTOBO, Znuny共に機能面ではほとんどOTRSと同じです。ただし今後はおそらくそれぞれ独自の進化のほうにシフトしていくと考えられます。一応言及しておくと、OTOBOとZnunyの仲が悪いということはありません。現にOTOBOの一部にはZnuny由来の機能が存在しています。別々にフォークしながらいいところは取り込んでいくといった、OSSらしい良い循環が出来ているように見えます。
また、((OTRS)) Community Edition 6からの移行サービスも提供されています。
OTOBO/Znunyの製品紹介は、こちらをご覧ください。
ソフトウェアのサポートについて
弊社もオープンソースソフトウェアの商用利用をサポートしている立場として、OTRSのように提供ベンダーの事情によってメンテナンスが止まるリスクは常に考えています。
しかしある程度利用されてコミュニティが成立しているオープンソースでは、プロジェクトの継続ができなくなっても派生プロジェクトが立ち上がることに期待できます。
開発会社が買収されて製品をディスコンにすることが日常茶飯事のソフトウェア業界においては、プロプライエタリな商用製品よりオープンソースの方が優位ではないでしょうか?
【注意喚起】CVE-2022-21724, CVE-2022-23437, CVE-2022-23221 について(SOS JobScheduler)
JobScheduler 1.13.11以前に以下の脆弱性の対応を公開しました。
CVE-2022-21724 PGJDBC 特権昇格
この脆弱性は 2022年02月02日ににて 「GHSA-v7wg-cpwc-24m4」として 紹介されました。
https://change.sos-berlin.com/browse/JOC-1222?src=confmacro
CVE-2022-23437 APACHE XERCES JAVA まで2.12.1 XML PARSER サービス拒否
この脆弱性は 2022年01月24日ににて 紹介されました。
https://change.sos-berlin.com/browse/JS-1978?src=confmacro
CVE-2022-23221 H2 CONSOLE 前の2.1.210 JDBC URL PRIVILEGE ESCALATION
この脆弱性は 2022年01月20日ににて 紹介されました。
https://change.sos-berlin.com/browse/JS-1977?src=confmacro
対策
回避策については、上記リンクをご確認ください。
尚LTS契約ご契約のお客様については上記フィックスを含んだV.1.13.12がご提供されます。