KubernetesのメンテナーはIngress NGINXを救う価値はないと判断し、プロジェクトの作業を中止し、2026年3月に廃止することを決定しました。
Ingress NGINXはイングレスコントローラーであり、Kubernetesクラスターおよびその上で動作するアプリケーションへの外部HTTP/Sアクセスを可能にするツールの一種です。
昨日の柔軟性が、今日の克服不可能な技術的負債となった
Datadogのスタッフエンジニアであり、Kubernetesセキュリティ特別関心グループの共同議長でもあるTabitha Sableによると、「その非常に高い柔軟性、豊富な機能、特定のクラウドやインフラプロバイダーに依存しない独立性により、非常に人気となりました」とのことです。
開発者たちは代替手段を作り出してきましたが、Sableは「Ingress NGINXは依然として最も人気のあるものの一つであり、多くのホステッドKubernetesプラットフォームや無数の独立したユーザーのクラスターで導入され続けています」と感じています。
人気がある一方で、このツールには問題もあります。
2025年3月、Wizの研究者がIngress NGINXに深刻な脆弱性があり、Kubernetesクラスターを完全に乗っ取られる可能性があることを発見しました。
この発覚以前から、プロジェクトはすでに問題を抱えていました。研究者たちは以前にもいくつかの重大なセキュリティ欠陥を発見し、修正していました。メンテナーたちは昨年、コア機能の追加を停止し、「InGate」という新たなイングレスコントローラーを作成するプロジェクトに注力することを発表しました。この新プロジェクトはGateway APIコントローラーとしても機能し、K8sクラスターを外部と接続する別の手段となることを目指しています。
水曜日、Kubernetesセキュリティ対応委員会(SRC)はIngress NGINXの終了を決定しました。
「Ingress NGINXの幅広さと柔軟性が、メンテナンスの課題を引き起こしました」とSableは記しています。「クラウドネイティブソフトウェアに対する期待の変化も、複雑さを増しています。かつては有用と考えられていたオプションが、時には重大なセキュリティ欠陥と見なされるようになりました……昨日の柔軟性が、今日の克服不可能な技術的負債となったのです。」
Sableはまた、Ingress NGINXは「常に不十分、もしくはかろうじて十分なメンテナーシップに苦しんできました。何年もの間、プロジェクトには1人か2人しか開発作業を行う人がおらず、その人たちも自分の時間で、勤務時間外や週末に作業していました」と記しています。
WizがIngress NGINXの脆弱性を明らかにした際、約6,000件の導入例が見つかりました。2026年3月になると、残っているインスタンスは引き続き動作しますが、開発者によるアップデートは提供されなくなります。
ですので、K8s管理者の皆さん、今こそ行動の時です。放置されたソフトウェアを運用し続けるための補完的なコントロールを開発できるか検討するか、代替手段を選んで移行計画を立てるか、短い猶予期間のうちに判断しましょう。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/14/nginx_retirement/
