Ruby 1.8.7 と 1.9.2 のセキュリティメンテナンスが延長されます

Posted by zzak on 17 Dec 2013
Translated by makimoto

2014年6月まで 1.8.7 と 1.9.2 に対するセキュリティパッチのサポートが行なわれることになりました。

• Terence Lee (@hone02) と Zachary Scott (@_zzak) がメンテナとなります。
• 6ヶ月のメンテナンス期間のあと、さらに6ヶ月の延長のためにコミッタを割り当てる可能性があります。

このメンテナンスの延長が実現したのは Heroku によるものです。 詳細については次のブログ記事を参照ください。 A Patch in Time: Securing Ruby (英語)

問題報告の方法

延長されたメンテナンス期間は、1.8.7 と 1.9.2 のソースコードリポジトリに対し、 我々はセキュリティパッチ のみ を適用します。

我々はセキュリティについて非常に重要な問題であると考えています。 もしあなたが脆弱性を発見したら、ただちに security@ruby-lang.org に報告してください。 このメーリングリストは非公開であり、報告された問題は修正がリリースされた後に公開されます。

詳細については ruby-lang.org/ja/security をご覧ください。

リリースマネージメントについて

先程述べたように、われわれはセキュリティパッチのみを適用し、そのパッチレベルをあげます。

1.8.7 と 1.9.2 のパッチが適用されたバージョンは ruby-lang.org にはリリースされません。 しかし、みなさんはソースコードからバイナリを作成することができます。

この理由は以下のとおりです。 われわれは新しいチケットを受け入れたくありません。 公式リリースとなれば、そのメンテナンスが ruby-core チームの継続的な責任になります。 われわれのチームのリソースは限られています。 われわれは古いバージョンをサポートするよりアップグレードを推奨したいと考えているのです。

何故 1.8.7 を復活させたのか？

6ヶ月ほど前の 1.8.7 のサポート終了 についてのお知らせを覚えている方もいるでしょう。

ruby-core チームによる 1.8.7 と 1.9.2 のメンテナンスをこれ以上は停止します。 しかし、企業による支援により、Terence と Zachary はそれらのバージョンのセキュリティマネージメントをサポートすることにしました。

過去にも、レガシーなバージョンのメンテナンスを自ら行ないたいと望むベンダーのサポートをわれわれは行なっていました。 2009年に Ruby 1.8.6 のメンテナンスが Engine Yard に移管され、1.8.6-p369 が彼らによってリリースされました。

推奨の言葉

みなさんが可能な限り早く、サポートされているバージョンの Ruby にアップグレードすることを、われわれは強く推奨します。 2.0 やその先のバージョンの Ruby のパフォーマンス向上や機能追加に、 たくさんの ruby-core メンバーが数えきれない時間をささげています。 みなさんにぜひともその恩恵を受けていただきたいと願います。

みなさんの絶え間ない支援に感謝します。 これからも Ruby をより良いものにしていきましょう！