OpenSSLのセキュリティ修正を受け、Node.jsがリリース予定を明らかに

 OpenSSLが2月25日にOpenSSLの最新版を3月1日に公開すると発表したことを受けて、Node.js FoundationがNode.jsのアクティブなリリースについての計画を発表している。OpenSSLのアップデートの内容を見て影響がある場合はリリースを行うと準備を促している。今週、5.7.1をはじめ3つのバージョンが登場する見込みだ。

 OpenSSL開発チームは最新の1.0.2gおよび1.0.1sを3月1日にリリースする。メーリングリストによると、深刻度が「高(high)」と分類されるセキュリティ修正がいくつか含まれるとしている。

 Node.jsのバージョン0.10および0.12は両方ともOpenSSL 1.0.1を利用しており、Node.jsのバージョン4と5ではOpenSSL 1.0.2を利用する。Node.jsのバイナリパッケージの多くはOpenSSLライブラリが静的にコンパイルされていることなどから、アクティブなリリースは今回のアップデートの影響を受けるという。そのため、Node.jsの暗号化チームはOpenSSLのリリースを受けて24時間以内に影響を評価し、各リリースのリリースの計画を発表するとしている。

 現行のNode.js 5系については、2月23日にリリースした5.7のマイナーアップデートとなる5.7.1が今週予定されている。大きな変更はない予定だが、OpenSSL 1.0.2gに重要な修正が含まれている場合は5.7.1に盛り込むとしている。

 メンテナンスモードのNode.js 0.10系ではバージョン0.10.43、長期サポート版(LTS)のNode.js 0.12ではバージョン0.12.11がそれぞれ今週リリースの予定。

 「Argon」LTSのバージョン4系については、現在リリース候補(RC)段階にある4.4.0が3月8日に公開を予定している。OpenSSL 1.0.2gのアップデートでNode.js 4系にインパクトを与える重要なアップデートが含まれる場合、今週にもセキュリティアップデートを目的とした4.3.2を公開するという。インパクトが少ないと判断した場合は、作業中の4.4.0にOpenSSL 1.0.2gを盛り込む。これにより、自分のペースで4.4.0にアップデートできるとしている。

Node.js Foundation
https://nodejs.org/