Confluence 10.0 ベータ版リリース ノート
Development releases are not production ready. Development releases are snapshots of the ongoing Confluence development process. While we try to keep these releases stable, they have not undergone the same degree of testing as a full release, and could contain features that are incomplete or may change or be removed before the next full release.
No upgrade path. Because development releases represent work in progress, we cannot provide a supported upgrade path between development releases, or from any development release to a final release. You may not be able to migrate any data you store in a Confluence development release to a future Confluence release.
Atlassian does not provide support for development releases.
この開発リリースに不具合がある場合、
お手数ですが当社まで問題を報告してください。
Highlights of 10.0.0-rc2
2025 年 7 月 31 日にリリース
含まれるもの
- 軽微なバグ修正
Highlights of 10.0.0-rc1
2025 年 7 月 24 日にリリース
含まれるもの
- 軽微なバグ修正
Highlights of 10.0.0-beta3
2025 年 7 月 16 日にリリース
REST エンドポイントにスコープを追加して、OAuth 2.0 2LO を使用する
対象: 管理者
REST エンドポイントのセキュリティと制御を強化するために、@ScopesAllowed を導入しました。
@ScopesAllowed アノテーションをエンドポイントに追加し、OAuth 2.0 クライアント認証情報トークン (2LO) を使用してアクセスできるようにします。
たとえば、このアノテーションでは、このエンドポイントへのアクセスを提供する前に、アクセス トークンに WRITE スコープが必要です。
@POST
@ScopesAllowed(requiredScope = "WRITE")
public void createEntity(...) {}サポートされているスコープは以下のとおりです。
- Confluence: 受信リンクの OAuth 2.0 スコープ
- Jira: 受信リンクの OAuth 2.0 スコープ
- Bitbucket: 受信リンクの OAuth 2.0 スコープ
- Bamboo: 受信リンクの OAuth 2.0 スコープ
- Crowd: 受信リンクの設定
10.0-beta2 のハイライト
2025 年 7 月 8 日にリリース
Spring と Jakarta のアップグレード
対象: 管理者
高度なセキュリティ基準を維持し、依存関係をサポートして最新の状態に保つために、Spring が 6.x ラインに、Jakarta が EE Platform 10 に、Apache Tomcat が 10.1 にそれぞれアップデートされる予定です。また、Spring と Jakarta に依存する他のライブラリも同様にアップデートされます。
Apache Tomcat のアップグレードでは、Jakarta Servlet 仕様に沿った変更も導入されています。カスタム サーバー設定またはコネクターを利用している場合は、アップグレードする前に次の点を確認してください。
- カスタム server.xml 設定、特に "javax.servlet" API への参照を確認します。Tomcat 10.1 は "jakarta.servlet" 名前空間に移行されています。
- Tomcat 10.1 でコネクター (HTTP、AJP など) が引き続きサポートされ、適切に設されていることを確認します。
- セキュリティまたは TLS/SSL 設定が Tomcat 10.1 の既定の暗号化プロトコルと互換性があることを確認します。
Tomcat 10.1 で導入された変更の詳細については、Apache Tomcat の公式ドキュメントを参照してください。
AUI 10 での非推奨コンポーネントの削除
対象: 管理者
デザインとアクセシビリティの問題があるいくつかの古い AUI 10 コンポーネント (ドロップダウン 1 とツールバー 1) が削除され、jQuery 3 のサポートを強化してセキュリティの問題に積極的に対処できるように内部の依存関係が更新されます。
LESS のサポート終了
対象: 管理者
セキュリティとパフォーマンスを強化するために、実行時に LESS を CSS に変換する機能が削除されます。それに伴い、コンパイル時に LESS を CSS にトランスパイルする必要があります。
信頼できるアプリの削除
対象: 管理者
信頼できるアプリは、Confluence 10.0 以降では利用できなくなります。製品への安全でないエントリ ポイントの数を減らすために、信頼できるアプリが削除されます。アトラシアン製品間のこの情報交換方法は、業界のベスト プラクティスに沿った安全性の高いソリューション (OAuth 2.0 プロトコルなど) に置き換えられています。
オリジナル テーマのサポート終了
対象: 管理者
新しいライト テーマとダーク テーマによりアクセシビリティとユーザビリティの向上がもたらされたため、すべての製品から元のテーマが削除されます。
グローバル シリアル化フィルター
対象: 管理者
Java の逆シリアル化、Velocity、Struts、XStream のセントラル ブロックリストに依存するグローバル シリアル化フィルターを実装します。このフィルターは、公開されているガジェット チェーンを通じてリモート コード実行 (RCE) に対して脆弱であると認識されている特定のクラスやパターンをブロックするように設計されています。
XStream の使用に関していくつかの重要な変更が実装されています。
- XStream には、シリアル化または逆シリアル化が禁止されている既知の脆弱なクラスの定義済みブロックリストが追加されました。
- カスタム クラス タイプをシリアル化または逆シリアル化する必要がある場合、アプリのモジュール記述子にこれらのタイプを定義する必要があります。次に例を示します。
<xstream-security key="xstream-allowlist" name="XStream allow-list set"> <type>java.util.Map</type> </xstream-security>
- 正規表現によってタイプを許可するオプションは削除されました。
アプリのインストール時におけるアプリ署名の既定での有効化
対象: 管理者
このリリースでは、アプリ署名は既定で有効化されます。この機能は、アプリのセキュリティを強化するものであり、徐々に Data Center 製品全体にロールアウトされています。詳細については、こちらのコミュニティ投稿をご確認ください。
アプリ署名は新規アプリのインストールのみに影響し、すでにインストール済みのアプリはそのままです。
必要な手順は、アプリを Marketplace からインストールするか、カスタム アプリを構築するかによって異なります。
Marketplace からアプリをインストールする
この操作を行うには、次の手順を実行します。
- 「UPM アプリ署名チェックを設定する」の説明に従って、トラスト ストア フォルダの場所を設定します。
- アトラシアンの証明書バンドルをダウンロードしてインストールします。詳細については、「アトラシアンの証明書バンドルを更新する」を参照してください。
- 以上で完了です。Marketplace から安全にアプリをインストールできます。
カスタム アプリのインストール
カスタム アプリのビルドを使用する場合は、次の手順でご自身のアプリに署名してそれらを保護できます。
- 「UPM アプリ署名チェックを設定する」の説明に従って、トラスト ストア フォルダの場所を設定します。
- 「OpenSSL を使ってアプリ署名と検証証明書を生成する」の説明に従って、アプリ署名と検証証明書を入手します。
- 「Updating Atlassian Certificate Bundles」の説明に従って、新しい証明書をトラスト ストアに配置します。
- 署名したアプリをインストールします。
アプリ署名機能を使用せずに、ファイル システム経由でアプリをインストールすることもできます。
問題が発生した場合は、「アプリ署名のトラブルシューティング」をご確認ください。
コンテンツ セキュリティ ポリシーによるセキュリティ強化
対象: 管理者
Confluence 10.0 にコンテンツ セキュリティ ポリシー (CSP) が実装されます。この新機能は、ページで実行できるコンテンツを Web ブラウザに指示することでセキュリティを強化し、Cross-site Scripting (XSS) やその他のコード インジェクション攻撃のリスクを大幅に軽減するものです。CSP を通じて、ドキュメントを読み込むことができるリソースを制御することで、データの流出を防ぎ、Confluence の全体的な安定性と信頼性を向上させることができます。
Confluence 10.0 では、script-src CSP ヘッダーがレポート専用モードで有効化されます。つまり、システムでは違反は記録されますが、リソースのブロックは行われないため、ユーザー エクスペリエンスに影響を与えることなく、潜在的なセキュリティ問題を監視できます。CSP の完全な強制は Confluence 11 で導入される予定です。
基本認証を既定で無効化
対象: 管理者
基本認証による認証が既定で無効化されます。これは、わずかに残るユース ケースをサポートする代替手段を開発し、成熟させつつ、基本認証を完全に廃止するための第一歩です。この変更は新規インストール (新規顧客) にのみ影響し、既存の Confluence セットアップやアップグレードされた Confluence セットアップには影響しません。
Synchrony プロセスの監視と観察可能性
対象: 管理者
Confluence の Synchrony コンポーネントの強化版監視機能がリリースされます。このアップデートにより、Synchrony プロセスをより効果的に監視できるようになり、システムの信頼性と迅速な問題解決が保証されます。また、JMX または statsD を介してコア Java 仮想マシン (JVM) および Synchrony 固有のメトリックをエクスポートできるようになり、既存の監視システムと統合しやすくなります。
- コア JVM メトリックには、ガベージ コレクション、メモリ使用量、CPU 使用率などのさまざまなパフォーマンス指標が含まれます。これらのメトリックから、JVM 環境の全体的な健全性とパフォーマンスに関するインサイトが得られます。
- Synchrony 固有のメトリックは、Synchrony プロセス自体のパフォーマンスに重点を置いています。メッセージ処理時間、ユーザー アクティビティ、エラー数などが含まれており、共同編集エクスペリエンスの監視と最適化に役立ちます。
監視を設定するには、システム プロパティまたは環境変数を使用します。Synchrony が Confluence によって管理されている場合は、これらのプロパティを synchrony-args.properties ファイルに追加します。詳細な設定手順については、「Synchrony の設定」を参照してください。
アップグレード ノート
正規表現を使用した XStream 許可リストを使用するアプリについては、アップグレード時に問題が発生します。正規表現を明示的なクラス名定義に置き換えて、アプリを再構築する必要があります。
サポート対象プラットフォームの変更
次のデータベースのサポートを追加します。
- PostgreSQL 17
また、次のサポートを削除します。
- PostgreSQL 15
- Java 17
このバージョンの製品は Java 21 でのみ実行されます。
インフラストラクチャの変更
Confluence 10.0 には、アプリに影響を与える可能性のある変更が含まれています。「Confluence 10.0 の準備」に進んで、これらの変更がアプリ開発者にどのように影響するかについてご確認ください。