はじめに

Java 開発の現場において、Spring Framework は世界中で最も利用されているフレームワークの一つです。しかし、ビジネスの基盤となるアプリケーションを運用する中で、「OSSのサポート期限切れ」や「セキュリティ脆弱性への対応」に頭を悩ませている担当者様も多いのではないでしょうか。

今回は、これらの課題を解決し、さらに開発効率を向上させる Spring の商用サポートサービス VMware Tanzu Spring Essentials （以降 Tanzu Spring Essentials）についてご紹介します。

Tanzu Spring Essentials とは？

Tanzu Spring Essentials は、Spring の開発元である Broadcom が提供する、Spring 関連プロジェクト向けのサブスクリプションサービスです。

2025年の秋に Spring Framework 7.0 および Spring Boot 4.0 のメジャーリリースが行われました。VMware Tanzu Spring Essentials は商用サポート期間を提供することで、すぐにはアップグレードができない既存資産を保護します。さらにそれだけではなく、Application Advisor 機能により、次世代へのスムーズな移行も支援します。

Tanzu Spring Essentials を購入すると、Spring 開発を支援するための複数機能へのアクセスが可能となります。詳細については、製品ドキュメントをご参照ください。その中でも多くのお客様から、以下の問い合わせが増えております。

Spring Enterprise Repository ①: CVE 公表後、即日でのパッチ入手が可能
Spring Enterprise Repository ②: 最大7年の商用サポート期間提供
Spring Enterprise Repository ③: 幅広い Spring プロジェクトのカバレッジ
Tanzu Distribution of OpenJDK : マルチプラットフォーム対応の JDK の提供
Application Advisor : 継続的なアップグレードの支援

ここからは、それぞれについて解説します。

Spring Enterprise Repository ①: CVE 公表後、即日でのパッチ入手が可能

Broadcom は Spring プロジェクトの唯一の CNA (CVE Numbering Authority : 脆弱性採番機関) として脆弱性情報の公開プロセス自体を主導しています。すなわちSpring にまつわる全ての CVE の発行は Broadcom 1社で行っています。

全ての CVE は Broadcom によりパッチ開発、テスト、リリースを終えたうえでの公表になっています。開発されたパッチは OSS サポート期間（後述）であれば、Maven Central とよばれる公共のレポジトリに公開されます。OSS サポート期間を過ぎたものに関しては、Tanzu Spring Essentials の購入者専用のレポジトリ Spring Enterprise Repository でリリースされます。そして、これが完了されたのち、CVE として公表されます。（他社サードパーティソリューションは、CVE公表後に開発に着手するため、パッチ開発期間によるラグが発生します。）

昨今OSS業界全体で、脆弱性報告数が膨大に増えている中、CVE公表からパッチ公開までの間の攻撃（いわゆるDay0脅威）が課題となっています。
Tanzu Spring Essentials はその課題へ対応するための最適な選択肢となります。

Spring Enterprise Repository ②: 最大7年の商用サポート期間提供

Spring のバージョン表記は、X.Y.Z.A であり、以下の意味をもちます。

X : メジャーバージョン
Y : マイナーバージョン
Z : パッチバージョン
A : ホット Fix パッチ（最近追加されたもののため、この表記がないものがほとんどです）

バージョンの表記ですが、適用の難易度にもつながります。パッチバージョン（Z) やホット Fix パッチ (A) は、多くの場合でユーザーコードを変えずとも適用が可能です。対して、メジャーバージョン（X) は非互換な変更があることが明言されています。

バージョンについての表記は、こちらをご参照ください。

https://github.com/spring-projects/spring-boot/wiki/Team-Practices#versioning

Tanzu Spring Essentials は、この中でも一番ユーザー影響が少ない、パッチバージョンもしくはホット Fix パッチの更新を最大7年間提供します。少ない変更でより長く継続利用をする場合、 Tanzu Spring Essentials は大きな価値を提供します。

サポート期間は以下のルールに従います。

各バージョン OSS サポート期間は 1年
各バージョン追加 1 年の商用サポート
最終マイナーバージョンでは、追加 6年の商用サポート

詳細は Spring プロジェクトのサポートサイクルをご参照ください。執筆段階では、Spring Boot 2.7 および 3.5 が7年間の長期サポートに入っています。4系の最終マイナーバージョンがリリースされれば、同じく7年間サポート予定です。

Spring Enterprise Repository ③: 幅広い Spring プロジェクトのカバレッジ

Tanzu Spring Essentials は Springの60以上のプロジェクトをサポートしています。対応プロジェクトはこちらをご参照ください。

これらプロジェクト群には多様な DB をサポートする Spring Data 、 Spring Cloud によるクラウド向け機能、 Micrometer による監視強化、Spring AI の AI 対応などが含まれています。

いわゆる Web アプリケーション開発目的であれば、Spring Framework 、Spring MVC、Spring Security などの代表的なプロジェクトのみので機能としては充足します。しかし、より高い開発効率性、先進的なアプリケーション、パフォーマンスの最適化をめざす、特に Spring Boot の開発を検討している場合にこれらプロジェクトは真価を発揮します。

Tanzu Distribution of OpenJDK : マルチプラットフォーム対応の JDK の提供

Tanzu Spring Essentials では、サポート範囲は Spring だけにとどまりません。Java アプリケーションの実行に必要な以下のコンポーネントも統合的にサポートされます。

Tanzu tc Server : 商用 Tomcat サーバーを提供します。Apache Tomcat のコアコントリビューターが Broadcom に在籍しているため、深い知見に基づいたサポートが可能。また、ASF (Apache Software Foundation) がサポート終了とみなすバージョンの長期サポート ( Tomcat 7.0.x と 8.5.x の延長サポート ) も提供
Tanzu Distribution of OpenJDK : BellSoft 社のOpenJDKディストリビューションの商用サポートを提供
Apache HTTP Server : Webサーバーの商用サポートも提供

このなかでも特に Tanzu Distribution of OpenJDK ですが、長期間の商用サポートを幅広いOS・バージョンに対して提供しています。

一部商用 JDK が対応 OS などが限定的なため、稼働場所が制限される、といったケースが報告されておりますが、Tanzu Distribution of OpenJDK はそのような制約が少ないマルチプラットフォーム対応の JDK です。

Application Advisor : 継続的なアップグレードの支援

Tanzu Spring Essentials の提供機能のうち、問い合わせが多いのが Application Advisor です。

Application Advisor ができること：

アップグレード計画の作成 : 現バージョンからターゲットバージョンへの移行ステップを作成
変更箇所の自動コード生成 : 移行ステップに必要なコード、構成、依存関係の変更を自動生成
CI/CD ツールとの連携 : アップグレードステップの自動トリガー (プルリクエストを作成) と連携

Application Advisor は OpenRewrite と呼ばれるオープンソースツールを内部で利用し、自動化プロセスをレシピという形態で提供しています。Application Advisor 1.6 の商用レシピ一覧はこちらをご参照ください。

海外の事例では、セキュリティ対策を中心とした課題に対して、Spring 商用サポートに加え、Application Advisor を活用しているケースもあります。

よくある質問

導入検討時によくいただく質問をまとめました。

Q. ライセンスの課金体系はどうなっていますか？

A. 商用サポート対象のアプリケーションが動作している物理 CPU コア数（または vCPU 換算）に基づいた課金となります。

Q. 専用リポジトリのアクセス手順について教えてください。

A. リポジトリの利用には契約に紐づいた Broadcom Support Portal のユーザ登録が必要です。詳細な手順についてはこちらの公式 URL をご参照ください。

Q. 一つのライセンスで複数バージョンの商用サポートが得られますか？

A. はい、ライセンスは特に利用バージョンと紐づいていません。

Q. 商用版の修正は公開されていますか？

A. 商用期間に入ったバージョンのリリースノートは、https://enterprise.spring.io/ にて公開がされております。例えば、Spring Boot の商用サポートについてはこちらをご参照ください。

Q. Spring Enterprise を見ると商用期間のパッチしかありません。OSS期間のパッチはどこから入手すればいいですか？

A. Maven Central から入手したものがサポート対象です。OSS期間のものは特にライブラリを入れ替える必要はございません。

Q. 製品購入前に試すことは可能ですか？

A. 90日間のトライアル期間がございます。製品版と同等のものが利用ができます。トライアルについては、Broadcomサポートポータルよりトライアルの申請をいただくか、もしくは担当営業までお問い合わせください。

Q. Broadcom のサポートではどのような問い合わせに対応してくれますか？

A. Springプロジェクトの利用方法、設定、バグ報告、Spring自体のパフォーマンス問題（アプリコード以外）などが対象です。カスタムコードのデバッグやアプリ設計のコンサルティングは範囲外 ( 別途有償サービスをご提案 ) となります。詳細なサポート範囲については、こちらのナレッジベースもご参照ください。

Q. 脆弱性の一覧はどこをみればいいですか？また自動通知はできますでしょうか？

A. Spring の脆弱性はすべて以下のリンクで公開しています。

https://spring.io/security

自動通知はについては、以下の RSS Feed リンクがございます。RSSを使った通知機能をお持ちの場合連携が可能です。

https://spring.io/security.atom

Q. コア数のカウント方法を教えてください。

A. Tanzu Spring Essentials の課金対象は「設定上取りうることのできる最大物理コア数」をご報告いただく必要がございます。「設定上取りうることのできる最大物理コア数」を報告する上で以下を確認してください。

ハイパースレッドの有無

多くの場合で、CPU処理を分割する技術であるハイパースレッドが有効化されています。有効化されている場合、1 vCPU = 1/2 Core としてカウントが可能です。
全ての環境をカウント

Tanzu Spring Essentials は検証・本番環境での利用における区別はございません。全ての環境をカウントする必要がございます。
AutoScaling などによる動的なリソース変動の有無

クラウドなどで動的にリソースを変動させる運用をしている場合、その設定において起こりうる最大のコア数をご報告するように依頼しております。たとえば、平均で 4コアで動いているサービスでも、最大負荷で 10 コアまで増えることができる設定されているのであれば、10 コアで報告するようお願いしております。

昨今のクラウドのサービスによってケースは多岐にわたっているのが実情です。上記について疑問がある場合は担当営業までお問い合わせください。

まとめ

Tanzu Spring Essentials は、企業のJavaアプリケーション運用を強力に支援します。Spring の商用利用をご検討の際は、ぜひ Tanzu Spring Essentials をご活用ください。

【関連情報】

Spring Academy (学習コンテンツ)
Spring Certified Professional (認定資格)