2026-06 Hotfix リリース内容#
今月の Hotfix リリースでは、以下を修正しました。 リリース内容に関して、ご不明点やご質問がございましたら、サポート窓口にお問い合わせください。
2026-06-15 リリース内容#
スキャナの更新が必要です
本不具合の修正にはスキャナの更新が必要です。スキャナのバージョンが古い場合、一部機能が正しく動作しない可能性がありますので、定期的な更新をお願いします。
| 対象 | スキャナバージョン | スキャン実行スクリプト |
|---|---|---|
| Linux用 | [NEW] vuls v0.39.3 | Version: 2025/10 |
| Windows用 | [NEW] vuls v0.39.3 | Version: 2025/04 |
一部のロックファイルの解析に失敗するとスキャン結果全体が登録されない不具合を修正#
複数のロックファイル(package-lock.json や go.mod 等)のうち1つでも解析に失敗すると、スキャン結果全体が登録されない不具合を修正しました。本事象は、次のスキャン方法で発生していました。
本不具合では、解析に失敗したロックファイルだけでなく、OS パッケージ・他の正常なロックファイル・脆弱性の検知結果まで FutureVuls に反映されませんでした。そのため、対象期間中は本来検知されるべき脆弱性を一覧で確認できず、検知漏れが発生していた可能性があります。Vuls Scanner の更新と再スキャンにより、最新の検知状態へ復元されます。
影響を受ける対象のお客様#
2026年6月3日の定期リリース(Vuls Scanner v0.39.2)から本 Hotfix リリース(2026年6月15日)までの期間に上記のスキャンを実施し、解析に失敗するロックファイルを含んでいたお客様が対象です。
修正内容#
解析に失敗したロックファイルのみをスキップし、OS パッケージ・他の正常なロックファイル・脆弱性の検知結果はこれまでどおり登録するようになりました。
スキップしたロックファイルがある場合は、既存のスキャンエラー通知でファイル名をお知らせします。
以下のロックファイルのパースに失敗しました。
- my-app/package-lock.json
※OSや他の正常なライブラリのスキャン結果はFutureVulsに反映されています。
不具合の修正方法#
ご利用のスキャン方法に応じて、以下のとおりご対応ください。
- Vuls Scanner でスキャンしている場合: 本修正を反映するため、Vuls Scanner を最新版(v0.39.3)へ更新のうえ、再度スキャンを実施してください。
- Lockfile のペーストスキャンの場合: FutureVuls 側で対応済みのため、特別なご対応は不要です。
また、スキャンエラー通知でロックファイルのパース失敗をお知らせした場合、対象のロックファイル自体に問題があります。当該ロックファイルを修正して再度スキャン(またはペースト登録)いただくと、そのロックファイルに含まれるライブラリの脆弱性も検知できるようになります。
2026-06-23 リリース内容#
アーカイブ済みリポジトリの OSS ライブラリを「確定 EOL」と誤検知する不具合を修正#
本修正にスキャナの更新は不要です
FutureVuls 側(サーバ側)の EOL 判定ロジックに起因する不具合です。上記 2026-06-15 の修正と異なり、スキャナの更新や再スキャンを行う必要がなく、お客様による特別なご対応も不要です。
2026-06-03 の定期リリースで提供を開始した OSS ライブラリの EOL 検知において、ソースリポジトリ(GitHub 等)がアーカイブ/無効化されているというだけで、提供元による明示的なサポート終了(EOL)宣言がない OSS ライブラリまで一律に 確定 EOL(EOL-Confirmed) と判定していた不具合を修正しました。
確定 EOL はサプライチェーンリスクとして起票され、速やかな移行を促す判定です。本不具合では、実際にはサポート終了していないライブラリに対して、誤ったサプライチェーンリスクが多数起票される場合がありました。具体的には、次のようなケースが該当します。
- 別リポジトリへ統合されたが提供は継続中:元のリポジトリはアーカイブされているものの、同じパッケージとして新しいバージョンの公開が継続している(モノレポへの統合など)
- 例:
google-auth-library、google-gax(npm)。元の GitHub リポジトリ(google-auth-library-nodejs、gax-nodejs)はアーカイブ済みである一方、現在もモノレポから新しいバージョンの公開が続いています。
- 例:
- 更新は停滞しているが利用可能:長期間新しいリリースはないものの、同じパッケージとして引き続きインストール・利用できる
リポジトリのアーカイブは「メンテナンスが停滞・凍結している」ことは示しますが、それだけでは「サポート終了(EOL)」とは限りません。
影響を受ける対象のお客様#
2026-06-03 の定期リリース以降、サプライチェーンリスク機能で OSS ライブラリの EOL 検知をご利用のお客様のうち、上記に該当する(リポジトリはアーカイブ済みだが実際にはサポート終了していない)ライブラリを利用しているお客様が対象です。これらのライブラリが、確定 EOL のサプライチェーンリスクとして誤って起票されていた可能性があります。
修正内容#
確定 EOL(EOL-Confirmed) と判定する条件を、提供元による明示的なサポート終了(EOL)宣言がある場合に限定しました。具体的には、以下のいずれかの一次情報がある場合のみ確定 EOL と判定します。
- レジストリ上の明示的な廃止宣言(npm の
deprecated、PyPI のyanked、Packagist のabandoned、Maven の後継移行宣言<relocation>など) - endoflife.date や非公開 EOL に登録された EOL 情報
リポジトリのアーカイブ/無効化のみで上記の明示的な宣言がない OSS ライブラリは、確定 EOL とは判定しなくなりました。これらのライブラリのメンテナンス状況は、引き続きソフトウェアヘルスでご確認いただけます。
なお、リポジトリがアーカイブされており、かつ提供元がサポート終了を宣言しているライブラリは、これまでどおり確定 EOL として検知されます。たとえば inflight(npm)は、GitHub リポジトリがアーカイブ済みであることに加えて npm でも deprecated が宣言されているため、引き続き確定 EOL として起票されます。本修正による検知漏れはありません。
不具合の修正方法#
本修正は FutureVuls 側(サーバ側)で対応済みのため、お客様による特別なご対応は必要ありません。
誤って起票されていた確定 EOL のサプライチェーンリスクは、次回のスキャン以降、サーバ側で順次自動的に再評価され、自動的にクローズ(CLOSED)されます。