1. Drupalのメジャー、マイナー、パッチのリリーススケジュール
毎週火曜日21:00から木曜日の21:00(日本時間) | パッチやマイナーのリリース。 |
メジャー、マイナー、パッチの内容は以下の通りです。
マイナーリリース | 約半年ごとにリリースされ、新機能が盛り込まれる予定 |
パッチリリース | 毎月リリースされ、障害や脆弱性に対応します。 |
バグ修正 | 新しいマイナーリリースが公開されると、以前のマイナーリリースに対するバグの修正はされなくなります。 |
脆弱性・サポート |
最新リリースのバージョンから、1つ前のバージョンまでセキュリティサポートされます。 (例) 9.5.0 がリリースされると、9.4.x はセキュリティサポートされますが、9.3.x はサポートされなくなります。) |
まれに、パッチリリースでは解決できず、次に予定されたマイナーリリースまで待てないような、深刻な脆弱性が見つかった場合は、その変更のみを含む予定外のマイナーリリースをリリースすることがあります。
2. Drupalのセキュリアップデートの周期について
- セキュリティリリースのリリースウィンドウは日本時間の木曜日の1:00(または02:00)頃に開始されます。
(Drupalのcoreセキュリティリリースはこの間以外でも行われる可能性があります。)
Security advisories | Drupal.org
3. vendor以下のセキュリティアップデートについて
3.1 Drupal 9.4.0以降では、Drupal.orgのセキュリティチームからセキュリティ勧告は発行されません。
- Drupal.orgのセキュリティチームは、Drupalのcoreに脆弱性があると判断した場合に、新しいcoreリリースを作成し、第三者ベンダーのライブラリに関するセキュリティ勧告を発行します。
- しかし、Drupal 9.4.0以降では、Drupal.orgのセキュリティチームはComposerの依存関係のセキュリティアップデートについては、セキュリティ勧告を発行しない予定です。
- サイトの所有者は、Drupalプロジェクトだけでなく、第三者の依存関係のセキュリティ発表を監視し、必要に応じて依存関係のセキュリティアップデートをインストールする必要があります。
3.2 Drupal 9.4 以降では、パッチレベルのベンダーアップデートを自分でインストールが必要です。
- drupal/core-recommendedで公開されているメタパッケージは、Composer の依存パッケージのパッチレベルでのアップデートを許可するようになりました。
- そのため、drupal/core-recommendedを利用しているサイトの所有者は、ほとんどの Composer 依存関係のセキュリティ更新を自分でインストールする必要があります。
※ .tar.gzまたは.zipファイルのダウンロードを使用して構築されたサイトは、vendor以下のファイルを自分でアップデートできません。
Drupal 9.4でtarballやzipファイルのアーカイブで構築されたサイトは、coreの依存関係に対して同じレベルのセキュリティサポートを受けることはできなくなります。
tarballやzipファイルで構築されたサイトは、drupal/core-recommendedを使用してください。
3.3 Drupal 9.3は、サポート終了までアップデートがリリースされます。
- Drupal 9.3は2022年12月のDrupal 9.5.0リリースまでセキュリティ対応が受けられます。
- Drupal 9.3のベンダーセキュリティアップデートについては、Drupal.orgが迅速なリリースを行っています。
3.4 Drupal 7はこの変更の影響を受けません。
- Drupal 7のcoreでは、第三者の依存関係(特にjQueryとjQuery UI JavaScriptパッケージ)を限定的に使用するため、Drupal 7はこのポリシー変更の影響を受けません。
- Drupal 7のコントリビュートモジュールで第三者のライブラリを使用しているサイトでは、引き続きそれらの第三者のライブラリを監視し、アップデートを適用する必要があります。
4. Drupalのリリーススケジュール
4.1 2022年のリリーススケジュール
2022年9月12日の週 | Drupal 10.0.0-beta1、9.5.0-beta1がリリース。10.1.xが開発用にオープン。 |
2022年11月14日の週 | Drupal 10.0.0-rc1と9.5.0-rc1がリリース。 |
2022年12月14日 | Drupal 10.0.0と9.5.0をリリース。9.3.xのセキュリティサポート終了。 |
4.2 2023年のリリーススケジュール
2023年5月8日の週 | Drupal 10.1.0-alpha1リリース。10.2.xが開発用にオープン。 |
2023年5月22日の週 | Drupal 10.1.0-beta1リリース。 |
2023年6月5日の週 | Drupal 10.1.0-rc1リリース。 |
2023年6月21日 | Drupal 10.1.0リリース。9.4.xのセキュリティサポート終了。 |
2023年11月1日 | 9.5.xのセキュリティサポート終了(Symfony 4 EOLのため)。 |
2023年12月13日 | Drupal 10.2.0リリース。10.0.xのセキュリティサポート終了。 |
5. EOLの時期
2023年11月1日 |
Drupal 7がサポート終了。 この日以降もベンダー延長サポート(D7ES)が提供されます。 |
2023年11月1日 | Drupal 9はSymfony 4に依存しているため、サポート終了。 |
6. 過去のリリース
2015年11月19日 | Drupal 8.0.0リリース。 |
2016年2月24日 | Drupal 6のサポート終了。 |
2020年6月3日 | 9.0.0と8.9.0がリリース。 |
2020年12月2日 | 9.1.0リリース。 |
2021年6月16日 | 9.2.0リリース。 |
2021年12月8日 | 9.3.0リリース。 |
2021年11月17日 | Drupal 8のサポート終了。 |
2022年6月16日 | 9.4.0リリース。 |