Drupal 7 のサポート終了が 2025/01/05 に決定

Drupal 7 のサポートは既に 2 回延長されてきましたが、今回の発表では、今後さらなる延長は行わないことが明言されました。

以前の延長とは異なり、さまざまな制約が加えられたことで、Drupal 7 サイトを安全な状態で保守することが今までよりも困難になります。「延長」という言葉で安心せず、告知の内容を熟読してサポート内容をしっかり理解したうえで、今後の保守やアップグレードについて計画することを強くお勧めします。

また、実質的には 2024 年末までに移行を終了する必要があることにもご注意ください。

以下、PSA-2023-06-07 の翻訳です

Drupal 7のサポート終了は 2025 年 1 月 5 日

2022 年 2 月 23 日、Drupal 7 のサポート終了日を最低でも 2023 年 11 月 1 日 まで延長することが発表されました。

本日、Drupal 7 のサポート終了が 2025 年 1 月 5 日 に決定したことを正式に発表します。

この最終延長に伴い、Drupal セキュリティーチームが提供するサポートレベルについても調整が行われます。

Drupal 7 サポートの延長は今回が最後となります。

Drupal 7 の中程度の深刻な問題に対するサポートの縮小

2023 年 8 月 1 日以降、Drupal セキュリティーチームは、Drupal 7 に影響を与えるセキュリティー問題が大規模なエクスプロイトを可能にするものでない限り、「中程度」および「低」に分類されるものの解決に公開イシューキューを利用する場合があります。（セキュリティーリスクレベルの定義）[訳注：公開イシューキューの利用が意味するのは以下の３点です：　１）解決法が存在しない脆弱性に関する情報の一般公開　２）セキュリティーチームによる修正内容の確認が行われない　３）修正後、SA (Security Advisory) が発行されない]

これは Drupal 9 およびそれ以上のバージョンには適用されません。例えば Drupal 7 および Drupal 10 に同一の脆弱性が含まれる場合、Drupal 7 への修正が公開されないまま Drupal 10 への修正のみが公開され、その時点で Drupal 7 の脆弱性が公開される可能性があります。

一度サポート対象外となった Drupal 7 の contrib モジュールおよびテーマへの新しいメンテナー（保守者）の新規就任は不可に

コミュニティによる contrib モジュールおよびテーマのサポートはこれまで通り継続されます。しかし 2023 年 8 月 1 日以降以降、一度 Drupal 7 向け contrib モジュール／テーマのステータスがサポート対象外（”Unsupported”）となった場合、新たなメンテナーが保守を引き継ぐことができなくなります。これは、現行のメンテナーが Drupal 7 向けモジュール／テーマをサポート対象外と指定した場合や、メンテナーによる対応が無かった際にセキュリティーチームがサポート対象外と指定した場合などにも適用されます。もし、自身またはクライアントが利用している Drupal 7 の contrib モジュール／テーマがある場合、事前対応的にメンテナーになることを強く推奨します。

[訳注：いかなる理由であれ、一度サポート対象外となったモジュール／テーマが再び保守されることはありません。また、その後のセキュリティー問題の対応は公開イシューキューで行われることになります。問題の解決後に新たなリリースが作成されることはないため、パッチの適用が必要になります。]

Drupal セキュリティーチームは、CKEditor 4 のような Drupal 7 の contrib モジュールが依存するライブラリーに対してはセキュリティー勧告を発行しません。

Drupal 7 の PHP 5.5 サポートの終了

2023 年 8 月 1 日以降、Drupal 7 は PHP 5.6 以下のバージョンをサポートしません。Drupal 7 のサポート終了までに、PHP の最低要件を引き上げることについて PSA （Public Service Announcement = サービスに係る公式発表）を発行する可能性があります。

Windows のみに影響する Drupal 7 のセキュリティーアップデートの配布終了

2023 年 8 月 1 日以降、Windows のみが影響を受ける問題に対する Drupal 7 のセキュリティーフィックスの提供を終了します。Windows で Drupal 7 のサイトを運営している場合は、他のオペレーティングシステムへの移行を検討する必要があります。

Drupal.org での Drupal 7 ディストリビューションパッケージの配布終了

2023 年 8 月 1 日以降、Drupal.org 上での drush make ファイルを使った Drupal 7 ディストリビューションの作成を終了します。ディストリビューションの作成が必要な場合、ローカル環境で drush make を実行してください。

コミュニティーによる Drupal 7 サポートの最後の延長

現在のサポートは、Drupal コアのメンテナー、Drupal セキュリティチーム、そして Drupal 7 の問題に貢献する組織やボランティアにより成り立っています。

Drupal セキュリティチームの活動を支援するために、セキュリティチーム向け寄付ページにて寄付することができます。

Drupal コアのメンテナーやコントリビューターをスポンサーすることについて詳しく知りたい場合は、xjm のブログポスト「コアコミッターをスポンサーする理由」を参照してください。

Drupal 7 のサポート終了が意味すること

Drupal 7 がサポート終了を迎えると、

1. Drupal セキュリティーチームは、Drupal 7 のコアと contrib モジュール／テーマのサポートやセキュリティーアドバイザリーの提供を停止します。
2. Drupal 7 のセキュリティー問題は公的な場で共有される可能性があり、結果としてゼロデイアタック（事前の警告なしにセキュリティーの脆弱性が悪用されること）が発生する可能性が生じます。
3. Drupal.org は、ドキュメンテーションのナビゲーション、自動テスト、パッケージングなど、Drupal 7 に関連する作業をサポートしなくなります。
4. モジュールやテーマなどのプロジェクトページにあるすべての Drupal 7 対応リリースは、サポート対象外と表示されます。
5. Drupal 7 用のいくつかの Drush の機能は、基盤となる Drupal.org のインフラが削除されるため、動作しなくなる予定です。
6. Drupal.org の Drupal 7 向けファイルアーカイブのパッケージング（tar と zip ファイル）は停止されます。またアーカイブは削除される可能性があります。
7. Drupal core 7.x コアへのコミットが停止します。
8. パッケージの tarball のダウンロードが出来なくなる可能性があります。
9. 脆弱性スキャンツールにより、Drupal 7 が安全でないとの警告が表示されます。

現在 Drupal 7 のサイトを管理している場合は、サポート終了の前に Drupal 10 に移行することをお勧めします。

Drupal アソシエーションによる移行パートナープログラムの発表

Drupal アソシエーションは、Drupal 7 のサイトオーナーを支援する移行パートナーの認定に取り組んでいます。

認定された移行パートナーは支援を求めているエンドユーザーに対し、移行リソースライブラリとともに Drupal.org 上でプロモーションされる予定です。

過去の延長サポートベンダーやトップコントリビューターが優先的に認定される予定です。

Drupal 7 の認定移行パートナーについての詳細は、Drupal 7 EOL のランディングページをご覧ください。

[訳注：以前提供が計画されていた LTS は、上記の移行サポートに置き換えられます。]

コーディネーター 

Dries Buytaert、セキュリティーチームメンバー、コアコミッターがこのドキュメントの作成に貢献しました。