OpenJRE 8、17、21に対応するChisel生成のUbuntuコンテナ
by Canonical on 1 August 2025
Canonicalは、OpenJDKプロジェクトが提供するOpenJRE 8、17、21(Open Java Runtime Environment)に対応したChiselコンテナを発表しました。これらのコンテナイメージはサイズとセキュリティを重視し、必要不可欠な依存ファイルのみを含みます。AMD64とARM64の両アーキテクチャに対応しており、12年間のセキュリティサポートが付属します。
イメージは、以下のリンクからダウンロードできます。
Canonicalは、Chiselで生成したUbuntuコンテナを同等のJREイメージと比較するため、一連のベンチマーク測定を実施しました。GitHubリポジトリへのリンクは、このページの下部に記載されています。
Chisel生成のJREコンテナとは
Chiselコンテナとは、Canonicalのディストリビューションレスコンテナのコンセプトに基づいたイメージです。Canonicalが開発したオープンソースツールであるChiselを使用して生成されたコンテナであり、ユーザーはDebianパッケージの中で明確に定義された部分(スライス)をファイルシステムに抽出できます。通常のDebianパッケージと同様に、スライスは独自のコンテンツと、他の内部スライスおよび外部スライスに対する依存ファイルを含みます。
JREイメージに対応したChisel生成のUbuntuコンテナは、OpenJDKプロジェクトがJava SE(Java Platform, Standard Edition)のオープンソース版として無料で提供するOpenJRE(Open Java Runtime Environment)をパッケージ化しています。JREを使用してChiselが作成する超小型イメージは、対応Javaアプリケーションの最終段階のランタイムのベースイメージとして使用できます。Chiselイメージでは、パッケージマネージャ、bash、OpenJDKの不要なコンポーネントだけでなく、未使用の依存ファイルすべてあるいは一部の依存ファイルが削除されます。
サイズの縮小と開発における利便性
Chisel生成のUbuntu JREイメージを、関連する他のイメージ(Eclipse Adoptium(Temurin)、Amazon Corretto、Azul Zulu)と比較したところ、以下の点が明らかになりました。
- Chiselで生成したOpenJDK 17のUbuntu JREイメージは、Temurinランタイムイメージと比較して圧縮イメージのサイズが約51%、Amazon Correttoランタイムイメージと比較して65%、Azul Zuluランタイムイメージと比較して30%削減されています。
- Chiselで生成したOpenJDK 8のUbuntu JREイメージは、圧縮イメージのサイズがTemurinより52%小さく、Amazon Correttoイメージよりも1%小型です。Azul Zuluは、JREイメージを提供していないため、評価の対象外です。
どちらの場合も、他の分析対象イメージと比較して、起動パフォーマンスやスループットに統計的に有意な低下は見られませんでした。詳細なベンチマークの結果は、今後のブログで公開予定です。
このような結果から、Chiselで生成したUbuntu JREイメージを使用すると、リソースと帯域幅の使用率が低下するため、クラウド環境で大規模に使用した場合のコストが大幅に削減されます。ベースイメージから新しいビルドステージを作成するだけで、Javaアプリケーションのビルドとパッケージ化が可能です。
Chiselの詳細は、製品ドキュメントをご覧ください。また、以下のGitHubリポジトリには詳細なパフォーマンス分析が公開されています。
- JRE 8に対応するChisel生成のUbuntuコンテナのリポジトリ
- JRE 17に対応するChisel生成のUbuntuコンテナのリポジトリ
- JRE 21に対応するChisel生成のUbuntuコンテナのリポジトリ
信頼できる基盤と強固なセキュリティ保証
Chiselで生成したUbuntuイメージは引き続きUbuntuの長期サポートの対象となり、他のLTSコンポーネントと同じパッケージと同じリリースサイクルで更新されます。つまり、次のようにCanonicalによって完全にサポートされています。
- Ubuntu Proの対象としてすべてのUbuntuパッケージに最長12年間のセキュリティパッチを適用
- 平日または24時間365日対応のカスタマーサポート(オプション)
- ライブラリとリリースサイクルはUbuntu LTSと100%一致
2023年のSysdigレポートによると、最もリスクが高いのはJavaパッケージであり、実行時にさらされる脆弱性の60%以上を占めています。最新版のJetbrainsおよびNew Relicの調査によると、大企業では依然としてJava 8と17が主流です。しかしCanonicalのLTS保証を利用すれば、アップグレードのコストとセキュリティリスクを天秤にかけることなく、既存アプリケーションを長く利用できます。
Everything LTSでワークロードのサポートを延長
CanonicalのEverything LTSは、CNCF準拠のKubernetesディストリビューション上で動作するあらゆるオープンソースのDockerイメージに対して12年間のLTSを提供します。そのため、ワークロードに対する長期サポートを求める組織に最適です。Everything LTSでは、Canonicalの専門家で構成されたエンジニアリングチームが、お客様の仕様に合わせたディストリビューションレスDockerイメージを構築します。このイメージには、Ubuntuパッケージに含まれていないアップストリームコンポーネントが含まれ、重要なCVE(Common Vulnerabilities and Exposures:一般的な脆弱性と露出)は24時間以内に修正されます。また、RHEL、Ubuntu、VMware、またはパブリッククラウドのKubernetesで12年以上にわたりサポートされます。
Chiselで生成したUbuntuとEverything LTSの詳細は、次のブログをご覧ください。
ニュースレターのサインアップ
関連記事
Canonical、Ubuntu Pro for WSLを発表
Windows環境におけるUbuntu 24.04 LTSのWSLインスタンスにセキュリティメンテナンスとエンタープライズサポートを一括して提供。包括的なシステム管理機能も利用できるサブスクリプションサービス。 Canonicalは本日、Ubuntu Pro for WSLの一般提供を発表しました。Microsoftストアからインストール、ソースコードとベータ版はGitHubからダウンロード可能です。 「CanonicalとMicrosoftは、緊密なパートナーシップを通じてWSLの各種機能を構築しています。この取り組みは、WSLを利用して実運用向けのLinuxソリューションを構築する企業の開発者に有益です。」 Microsoft、WSLプロダクトマネージャー、Craig […]
バックポートでパッケージのサポート終了を回避
2025年7月、Gitは危険度の高い脆弱性「CVE-2025-48384」の報告を受けました。攻撃者がこの脆弱性を悪用すれば、リポジトリのクローンを作成する際に任意のコードを実行できます。米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、この脆弱性の実際の悪用事例を確認後、Known Exploited Vulnerabilities(KEV、悪用が確認されている脆弱性)のカタログに追加しました。 この脆弱性の公開時に標準サポート終了を過ぎていたユーザーにとって、選択肢は2つでした。Ubuntu Proのサブスクリプションでセキュリティパッチを入手するか、開発者の作業環境やCI/CDインフラに既知のリモートコード実行(RCE)脆弱性を抱えたまま […]
