fix: update-*.jar の蓄積とコンテナ再起動ループを根本解決 (#464)

akubiusa · claude · web-flow · commit 207d980bd4a7 · 2026-03-27T11:51:49.000Z
* fix: update.jar を固定ファイル名に変更し連鎖アップデートに対応 - Reload.kt: update-<timestamp>.jar → update.jar（固定名）に変更 タイムスタンプ付きファイル名が蓄積の根本原因であるため、 固定ファイル名 + overwrite=true により蓄積を構造的に排除する - docker-entrypoint.sh: 以下の改善を実施 - pgrep パターンを update-.*\.jar → update\.jar に更新 - is_zombie_pid / find_update_pid 関数を追加し ゾンビプロセスや無効プロセスを除外する - 連鎖アップデート対応の外側ループを追加 （update.jar が次の update.jar を起動してから終了する場合に追跡継続） Closes #463 Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com> * fix: コードレビュー指摘事項を自動修正 - docker-entrypoint.sh: ステップ 6 のコメントを英語から日本語に修正 - Reload.kt: updateTo() の docstring を更新し、固定ファイル名 ./update.jar への上書きコピーに関する説明を追記 Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com> * fix: Copilot レビューコメントへの対応 - docker-entrypoint.sh: wait で子プロセスの reap を試みた後、失敗時はポーリングに フォールバックし、ゾンビ化した場合はループを抜けるよう改善 - Reload.kt: update.jar 固定名上書きが Docker（Linux）環境で安全な理由をコメントに明記 Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com> * fix: update jar のファイル名をバージョン名ベースに変更 update.jar（固定名）から update-<version>.jar（バージョン名）に変更する。 同一バージョンでは同じファイル名になるため実質的に蓄積が抑えられ、 連鎖アップデート時には異なるバージョン間でファイル名が一致しないため 実行中ファイルを上書きしないという利点もある。 - Reload.kt: updateTo() でバージョンを manifest から読み取り update-<version>.jar 形式でコピー。バージョン読み取り失敗時は タイムスタンプをフォールバックとして使用する。 コピー前に古い update-*.jar を削除し蓄積を防ぐ。 - docker-entrypoint.sh: pgrep パターンを update-.*\.jar に更新 Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com> * fix: コメントを英語に統一 既存コードに合わせてコメントをすべて英語に変更する Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com> * fix: バージョン文字列のサニタイズとコピー順序の改善 - バージョン文字列を英数字・ドット・ハイフン以外の文字を _ に置換してサニタイズ。 悪意ある jar manifest に ../../ 等が含まれていた場合のパストラバーサルを防止する。 - update-*.jar のクリーンアップ順序をコピー後に変更。 以前はコピー前に削除していたため、コピー失敗時に古い jar も失われる状態だった。 Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com> * fix: チェーン更新のプロセス検出ウィンドウを 5 秒に統一 連鎖アップデート時の max_attempts を 3 から 5 に変更し、初回検出と同じ 待機時間に揃える。高負荷環境での JVM 起動時間を考慮したマージンを確保する。 Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com> * fix: Path正規化によるパストラバーサル防止に変更 正規表現によるバージョン文字列サニタイズの代わりに、 Java NIO の Path.normalize() と startsWith() を使用して マニフェストファイル経由のパストラバーサルを防止する。 Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com> --------- Co-authored-by: akubiusa <222856114+akubiusa@users.noreply.github.com> Co-authored-by: Claude Sonnet 4.6 <noreply@anthropic.com>
diff --git a/docker-entrypoint.sh b/docker-entrypoint.sh
@@ -4,46 +4,49 @@
 #
 # Update flow:
 # 1. Current (vcspeaker.jar) starts and runs normally
-# 2. When update is detected, Current spawns Latest (update-*.jar)
+# 2. When update is detected, Current spawns Latest (update-<version>.jar) via ProcessBuilder
 # 3. Current and Latest communicate via API to transfer state
 # 4. Current exits with code 0
 # 5. This script waits for Latest to finish (or keeps running)
+# 6. If Latest itself updates, the script tracks the new process (chain updates)
 
+# Returns 0 if the given PID is a zombie process, 1 otherwise
 is_zombie_pid() {
     local pid=$1
 
-    # プロセスが存在しない場合は zombie ではない
+    # If /proc/<pid>/stat is not readable, the process is not a zombie
     if [[ ! -r "/proc/$pid/stat" ]]; then
         return 1
     fi
 
     local state
     state=$(awk '{print $3}' "/proc/$pid/stat" 2>/dev/null || true)
 
-    # state が取得できなかった場合も zombie ではない
+    # If state cannot be read, treat as not a zombie
     if [[ -z "$state" ]]; then
         return 1
     fi
 
     [[ "$state" == "Z" ]]
 }
 
-find_update_pids() {
-    update_pids=()
+# Returns the PID of the update process (update-<version>.jar), excluding zombies and invalid processes
+find_update_pid() {
     local pid
-
     while IFS= read -r pid; do
         if [[ -z "$pid" ]]; then
             continue
         fi
 
-        # zombie プロセスはスキップ (is_zombie_pid 内でプロセスの存在確認も行われる)
+        # Skip zombie processes
         if is_zombie_pid "$pid"; then
             continue
         fi
 
-        update_pids+=("$pid")
-    done < <(pgrep -f "update-.*\.jar" || true)
+        echo "$pid"
+        return 0
+    done < <(pgrep -f "update-.*\.jar" 2>/dev/null || true)
+    return 1
 }
 
 java -jar /app/vcspeaker.jar "$@"
@@ -52,57 +55,49 @@ exit_code=$?
 echo "VCSpeaker exited with code: $exit_code"
 
 if [[ $exit_code -eq 0 ]]; then
-    # Retry loop: wait up to 5 seconds for update process to appear
-    update_pids=()
-    for _ in {1..5}; do
-        find_update_pids
-        if [[ ${#update_pids[@]} -gt 0 ]]; then
+    # Loop to track chain updates:
+    # handles the case where update-<v1>.jar spawns update-<v2>.jar before exiting
+    chain_update=0
+    while true; do
+        # Wait up to 5 seconds for an update process to appear (accounts for JVM startup time)
+        update_pid=""
+        for _ in $(seq 1 5); do
+            update_pid=$(find_update_pid || true)
+            if [[ -n "$update_pid" ]]; then
+                break
+            fi
+            sleep 1
+        done
+
+        if [[ -z "$update_pid" ]]; then
+            if [[ $chain_update -eq 1 ]]; then
+                echo "No further update process found. Normal shutdown."
+            else
+                echo "No update process found. Normal shutdown."
+            fi
             break
         fi
-        sleep 1
-    done
-
-    if [[ ${#update_pids[@]} -gt 0 ]]; then
-        echo "Update process detected (PID: ${update_pids[*]}). Waiting for it to complete..."
 
-        update_wait_timeout_seconds=${UPDATE_WAIT_TIMEOUT_SECONDS:-300}
-        update_wait_start_epoch=$(date +%s)
-        update_wait_timed_out=0
-
-        if [[ ! "$update_wait_timeout_seconds" =~ ^[0-9]+$ ]]; then
-            update_wait_timeout_seconds=300
-        fi
+        echo "Update process detected (PID: $update_pid). Waiting for it to complete..."
 
         # Wait for the update process to finish
         # This keeps the entrypoint alive so Docker doesn't restart the container
-        while true; do
-            find_update_pids
-
-            if [[ ${#update_pids[@]} -eq 0 ]]; then
-                break
-            fi
-
-            if [[ "$update_wait_timeout_seconds" -gt 0 ]]; then
-                now_epoch=$(date +%s)
-                elapsed_seconds=$((now_epoch - update_wait_start_epoch))
-                if [[ $elapsed_seconds -ge $update_wait_timeout_seconds ]]; then
-                    update_wait_timed_out=1
+        # Try wait first to properly reap child processes
+        if ! wait "$update_pid" 2>/dev/null; then
+            # Fall back to polling if wait fails (e.g. process is not a child)
+            while kill -0 "$update_pid" 2>/dev/null; do
+                # Break out of the loop if the process has become a zombie
+                if is_zombie_pid "$update_pid"; then
+                    wait "$update_pid" 2>/dev/null || true
                     break
                 fi
-            fi
-
-            sleep 1
-        done
-
-        if [[ $update_wait_timed_out -eq 1 ]]; then
-            echo "Update process wait timed out after ${elapsed_seconds}s (PID: ${update_pids[*]})."
-            exit 1
+                sleep 1
+            done
         fi
 
-        echo "Update process finished."
-    else
-        echo "No update process found. Normal shutdown."
-    fi
+        echo "Update process (PID: $update_pid) finished. Checking for chain updates..."
+        chain_update=1
+    done
 
     exit 0
 else
diff --git a/src/main/kotlin/com/jaoafa/vcspeaker/reload/Reload.kt b/src/main/kotlin/com/jaoafa/vcspeaker/reload/Reload.kt
@@ -202,16 +202,44 @@ object Reload {
     }
 
     /**
-     * 指定された jar archive を使用して VCSpeaker を更新します。
-     * 更新後は新しいプロセスが起動し、現在のプロセスは終了します。
+     * Updates VCSpeaker using the given jar archive.
+     * The jar is copied to the current working directory as `update-<version>.jar`.
+     * Falls back to a timestamp-based name if the version cannot be read from the manifest.
+     * Cleans up old `update-*.jar` files before copying to prevent accumulation.
+     * After the update, a new process is launched and the current process exits.
      *
-     * @param jar 更新先の jar archive
+     * @param jar jar archive to update to
      */
     fun updateTo(jar: File) {
         logger.info { "Updating to ${jar.name}..." }
 
-        // copy to the current working directory
-        val updateJar = jar.copyTo(File("./update-${System.currentTimeMillis()}.jar"), overwrite = true)
+        // Copy to a version-based filename so that different versions get different filenames,
+        // avoiding overwriting a running update jar during chain updates.
+        // Falls back to a timestamp if the version cannot be read from the manifest.
+        val rawVersion = jar.jarVersion() ?: System.currentTimeMillis().toString()
+
+        // Use Path normalization to prevent path traversal via a malicious jar manifest.
+        // Resolve the candidate path and verify it stays within the current directory.
+        val baseDir = File(".").toPath().toAbsolutePath().normalize()
+        val candidatePath = baseDir.resolve("update-$rawVersion.jar").normalize()
+        val updateJarName = if (candidatePath.startsWith(baseDir) && candidatePath.parent == baseDir) {
+            "update-$rawVersion.jar"
+        } else {
+            logger.warn { "Unsafe version string in manifest: '$rawVersion'. Falling back to timestamp-based name." }
+            "update-${System.currentTimeMillis()}.jar"
+        }
+
+        // Copy first, then clean up old update-*.jar files.
+        // Copying before deletion ensures no downtime window if the copy fails.
+        val updateJar = jar.copyTo(File("./$updateJarName"), overwrite = true)
+
+        // Delete old update-*.jar files (log a warning on failure, but continue)
+        File(".").listFiles { f -> f.name.matches(Regex("update-.*\\.jar")) && f.name != updateJarName }
+            ?.forEach { old ->
+                if (!old.delete()) {
+                    logger.warn { "Failed to delete old update jar: ${old.absolutePath}" }
+                }
+            }
 
         val server = Server(ServerType.Current)
         VCSpeaker.apiServer?.stop()
