この連載はOSSコンソーシアム データベース部会のメンバーがオープンソースデータベースの毎月の出来事をお伝えしています。前回まで連載100回記念の記事構成とさせていただきましたが、今回から平常モードです。引き続きよろしくお願いいたします。
[MySQL]2024年2月の主な出来事
2月のMySQLの製品リリースはありませんでした。MySQL HeatWaveの新機能として、ユーザが独自に作成した証明書をSSL暗号化通信で利用できる ようになりました。利用方法はMySQLの公式ブログでも解説 されています。
また、MySQL HeatWaveと連動するOCI(Oracle Cloud Infrastructure)のサービスをまとめたリファレンス・アーキテクチャを日本オラクルが作成し、公開しています。
MySQL HeatWaveを活用するためのリファレンス・ アーキテクチャ
MySQL HeatWaveは、シンプルな更新系の処理を得意とするMySQLサーバーに、分析処理を高速化するアクセラレータとしてのHeatWaveを統合したサービスです。また、機械学習エンジンをデータベースに内包しています。一方で、各種システムからのデータ収集やデータ可視化のためには、他のサービスなどの利用が必要となります。
そこで、OCIの各サービスとMySQL HeatWaveの組み合わせを紹介するリファレンス・アーキテクチャが公開 されました。システムを構築する際には、この中から必要となるサービスを選択していくことをイメージしています。
リファレンス・アーキテクチャ全体像
データウェアハウスとしてのMySQL HeatWaveに向けてデータを収集するサービスの例としては、大量データを一括で移行するOracle Data Integrationや、異なるデータベースやアプリケーション間でのデータの差分をリアルタイムで同期するOracle GoldenGateなどのMySQL HeatWave対応のサービス、そのオプション機能などが挙げられています。データの可視化はOracle Analytics Cloudが、データガバナンスにはData Catalogなど多彩なサービスがMySQL HeatWaveに対応し、包括的なデータ活用基盤の設計のためのヒントがちりばめられています。
もちろんオラクルが用意したシステム構成案ですので、Oracle Autonomous Data Warehouseのリファレンス・アーキテクチ ャも用意されています。
[PostgreSQL]2024年2月の主な出来事
2月は最新バージョンの16.2を含む更新版がリリースされました。新機能ではなくバグフィックスが中心ですが、セキュリティ上の脆弱性修正がされていますので、ぜひ確認してください。PostgreSQL本体の他に、JDBCドライバにもセキュリティ脆弱性の修正版が出ています。今回はこれらのリリースのお知らせに加えて、2つの興味深い話題をお伝えします。
PostgreSQL 16.2とサポート対象の全バージョンの更新版がリリース
2月8日、現在サポート対象になっている全メジャーバージョンの更新版がリリースされました(PostgreSQL Global Development Groupのお知らせ 、日本PostgreSQLユーザ会のお知らせ ) 。これには2023年秋にリリースされたバージョン16の最新版である16.2も含まれており、その他に15.6、14.11、13.14、12.18 がリリースされました。バージョン11の更新版はリリースされていませんが、これはバージョン11のサポート対象期間が終わっているためであり、後述するセキュリティ上の脆弱性や不具合などが無いことを意味しているわけではありません。
今回の更新では、1つのセキュリティ脆弱性と、数ヵ月間に報告された65件以上の不具合が修正されています。この更新版を適用する際は、GINインデックスを使用している場合には、更新した後にインデックスを再作成する必要がある場合がある点に注意してください。
以下に、今回の更新に含まれている代表的な項目をピックアップします。
セキュリティ上の問題: CVE-2024-0985 (PostgreSQLの非所有者による“REFRESH MATERIALIZED VIEW CONCURRENTLY”で任意のSQLが実行される)への対応
対象となるのはバージョン12~15で、16は対象外のようです。前述のように、バージョン11ではこの脆弱性の有無は明らかになっていませんが、存在が懸念されそうです。
その他のバグ修正と改善
今回の更新では、過去数ヵ月間に報告された65件以上の不具合が修正されています。以下に、リリースのお知らせ に列挙された冒頭の5つを紹介します。これらはバージョン16にも影響するものの一部になります。
メモリ不足状態を引き起こす可能性があるJITインライン化の実行時のメモリリークを修正
クエリプランナーのいくつかを修正
パーティションキー列を更新するときのMERGE動作を調整、および“ AFTER UPDATE ROW” トリガーの起動やその他の更新後のアクションをスキップ
“ ALTER TEXT SEARCH CONFIGURATION ... MAPPING” コマンド内の重複したトークン名に関する問題を修正 重複したロール名を持つ“ DROP ROLE” を修正
PostgreSQL JDBCドライバのセキュリティ脆弱性修正版がリリース
2月21日、JDBCドライバでもセキュリティ上の脆弱性に対応する修正版がリリース されました。上述のPostgreSQL本体とは別の問題です。
対象となる脆弱性はCVE-2024-1597 (pgjdbcの行コメント生成によるSQLインジェクション)で、2月19日に報告されたものです。
この脆弱性は、PostgreSQL JDBCドライバであるpgjdbcにおいて“ PreferQueryMode=SIMPLE” を使用している場合に、攻撃者がSQLを挿入できてしまいます。これはデフォルトモードで発生する脆弱性では無いとのこと。SQLインジェクション攻撃に対してパラメータ化されたクエリがもたらす保護をバイパスして、SQLを挿入してクエリを変更することができるケースがあるようです。
複数のバージョンのpgjdbcが対象となり、今回42.7.2、42.6.1、42.5.5、42.4.4、42.3.9、42.2.28、42.2.28.jre7がリリースされています。
PostgreSQLの開発に貢献している企業の分析結果
PostgreSQLの開発では、多数の企業とそれら企業に勤める技術者が貢献していることはよく知られています。今回、どのような企業がPostgreSQLの開発に貢献しているのかの集計・分析が、EDB(EnterpriseDB)のブログで発表されました。
報告は2本に分かれていて、「PostgreSQLの開発をサポートしている企業はどこか?」 「Postgres 16の貢献分析2023」
「PostgreSQLの開発をサポートしている企業はどこか?」
PostgreSQL 16貢献者数の企業別ランキング2024年2月8日EDB社ブログ )
pg_store_plans (PostgreSQL 実行計画記録ツール) の解説が公開
pg_store_plansはNTT OSSセンターが開発元であるPostgreSQLの機能拡張で、PostgreSQLの実行計画を取得するためのOSSです。このpg_store_plans自体は以前からあるツールなのですが、SRA OSSの技術ブログで解説記事が公開されました ので紹介します。
このブログでは、pg_store_plansとpg_stat_statementsを一緒に使って取得できる情報について説明されています。これらを一緒に使うことで、クエリの実行計画とその実行計画で実行された実行時間がわかるようになり、遅延が発生した時の実行計画の調査が便利になるのではないでしょうか。
pg_store_plansのオリジナルのドキュメント は英語で記述されているので、今回公開された日本語記事は重宝すると思います。
2024年3月以降開催予定のセミナーやイベント、 ユーザ会の活動
オンサイト(会場)開催が復活しつつあります。また、利便性のあるオンライン開催も定着し、オンサイト/オンライン/ハイブリットが混在するようになってきました。興味を持たれて参加したいイベントの開催形態にご注意ください。
日程
2024年3月1日(金) ~3月2日(土)Online/Spring (オンラインセミナー)(日)Tokyo/Spring (ブース展示のみ)(土)Nagoya (セミナー+展示)
場所
〔Online/Spring〕オンライン開催Spring〕東京都立産業貿易センター台東館(名古屋市千種区)
内容
オンサイト(会場)開催のオープンソースカンファレンスが戻ってきました。Online/Springは、3月1日と2日、この記事の公開日と翌日に開催されています。OSSデータベース関連を中心に、興味深いセッションをピックアップします。
《1日目:3月1日(金)》
JSONにJavaScript - Webフロントエンド技術とMySQL HeatWaveの2024最新事情( Oracle Corporation) 大塚恒平さん
PostgreSQLバックアップ基礎講座
爆速!DBチューニング超入門~DB性能の基礎とPG-Stromによる高速化~
はじめてのMySQL on K8sとMySQL Operator
主要4種データベース製品(Oracle、MySQL、PostgreSQL、MS SQL Server)の相違点比較
《2日目:3月2日(土)》
超初級PostgreSQL入門 - 基盤担当者むけ編( JPUG) 高塚遥さん
オープンソースとChatGPT(OSSAJ)
ITコミュニティの運営を考える(JUS)
Tokyo/Springはブース展示のみです。会場にお越しの方は参加登録をお願いします。Nagoyaはセミナーと展示の両方で、3月中旬から出展募集が始まります。
主催
オープンソースカンファレンス実行委員会
日程
2024年3月5日(火)14:00~15:30
場所
オンライン開催(Zoomウェビナー)
内容
YugabyteDBはPostgreSQLとの極めて高い互換性をもつ分散SQLデータベースです。データベースを柔軟にスケールでき、読み取りだけでなく、書き込みのスケールアウト・インも実現することが可能です。オートシャーディングやビルドインされた高可用性機能により、開発で負荷のかかるシャーディングやHAの設計/実装、そしてDay2運用が飛躍的に軽減されます。また、PostgreSQLと高い互換性があるため、移行コストが抑えられることも特徴のひとつです。
主催
Yugabyteジャパン株式会社、SRA OSS LLC
日程
2024年3月18日(月)15:00~17:30
場所
日本オラクル株式会社 本社 セミナールーム
内容
MySQL 5.7は、2023年10月から新規のパッチが提供されないSustaining Support期間に切り替わりました。引き続きパッチの提供が行われているMySQL 8.0や、最新のイノベーション・リリースであるMySQL 8.3への移行を検討しているものの、まだ手をつけられていないという方にむけて、本セミナーでは下記トピックについて詳しくわかりやすく解説します。
セキュリティ脆弱性の増加や、問題発生時のサポートの課題などのMySQL 5.7を利用し続けるリスク
MySQL 8.0の主な機能や、8.1から8.3の各イノベーション・リリースでの主な変更点
MySQL 5.7から8.0や8.3へのスムーズな移行を実現するための注意点と、アップグレードのベストプラクティス
バージョンアップ時の問題発生時の早期解決はもちろん、日々のMySQLの運用でのお困りごとも支援するMySQLのテクニカルサポート
5.7から8.0や8.3への移行を検討されている方はもちろん、今後リリースが予定されているLTS(Long Term Support)リリースへの対応方法に迷われている方にも必見の内容です。また移行でのお困り事や疑問点などを、その場でオラクルの技術者に直接相談することもできます。現在MySQL 5.7をご利用であれば、ぜひご参加をご検討ください。
主催
日本オラクル株式会社 MySQL Global Business Unit
