このドキュメントでは、既存のプラグインおよびアプリに Confluence 11.0 との互換性があるかどうかを確認したい、Confluence 開発者向けの情報をご案内します。

このページで、新しいマイルストーンの公開タイミング、およびその内容をご確認ください。ベータ版のリリース後、正式なリリース ノートを公開します。

最新のマイルストーン

このマイルストーンで問題が見受けられた場合

Confluence EAP のヘッダーで [フィードバック] ボタンを押すか、課題を登録してお知らせください。

On this page:

• 予定されている変更
• 変更の実装内容

予定されている変更

このセクションでは、導入予定の変更の概要について紹介します。アプリへの影響の検討にお役立てください。変更の実装が完了したら、そのタイミングと対象のマイルストーンをご案内します。 

カスタム HTML 編集が既定で無効に

ステータス: DONE

セキュリティを向上させるため、カスタム HTML の編集が既定で無効になりました。カスタム HTML を有効にする必要がある場合は、confluence.custom.html.config.enabled システム プロパティを true に設定します。この機能を有効にできるのは、システム管理者のみです。

システム プロパティの設定方法

ルック & フィール レイアウトの編集が既定で無効に

ステータス: DONE

To improve security, configuring Look and Feel customization is now disabled by default. Admins can only view existing layout configurations. To enable look and feel customization, set the confluence.custom.look.and.feel.enabled system property to true. Only system administrators can enable this feature.

システム プロパティの設定方法

Server-Side Request Forgery (SSRF) に対する保護を強化

ステータス: DONE

Server-Side Request Forgery (SSRF) 攻撃に対する保護を強化するために、既定のアウトバウンド リクエスト拒否リストを導入し、許可リストの適用範囲を追加のプラットフォーム コンポーネントに拡大しました。この拒否リストにより、クラウド メタデータ サービス (AWS、Google Cloud、Azure) やリンクローカル IP アドレスといった機密性の高い内部エンドポイント、および危険な非 HTTP プロトコル (例: file://、ftp://、ldap://) へのアウトバウンド接続が自動的にブロックされます。

さらに、以前は許可リストをバイパスしていた複数のプラットフォーム コンポーネント (OAuth2、ガジェット、UPM/Marketplace、アプリケーション リンク、Webhook など) が許可リストの設定を順守するようになり、プラットフォーム全体で一貫したアウトバウンド リクエストのフィルタリングが確保されます。

変更の背景

この取り組みの目的は、SSRF に関連するセキュリティ脆弱性に対処することです。SSRF により、攻撃者はサーバーを利用して、内部または外部リソースに対する不正なリクエストを行うことができます。

必要なアクション

これらの保護機能は既定で有効になっているため、設定は不要です。Jira、Confluence、JSM インスタンスに対して、すぐに使える SSRF 保護を提供します。必要に応じて、管理者は JVM システム プロパティ (-Dssrf.denylist.enabled=false など) を介して拒否リストを無効にできますが、本番環境での無効化は推奨されません。

SSRF 攻撃を軽減するために、適切な許可リストを設定してください。許可リストは SSRF に対する効果的な防御策です。拒否リストでは一部の明らかな SSRF 脆弱性を防ぐことはできますが、究極の解決策として、包括的な許可リストを設定する必要があります。

拒否リストをより細かく管理するには、以下のシステム プロパティを使用します。

ssrf.denylist.enabled

ssrf.denylist.dns.enabled

ssrf.denylist.protocols.enabled

ssrf.denylist.localhost.enabled

false

ローカル ドライブからの復元を既定で無効化

ステータス: DONE

アプリのセキュリティを向上させるため、ローカル ドライブからのデータの復元は既定で無効になりました。ローカル ドライブからのデータの復元を有効にするには、confluence.restore.from.local.drive.enabled システム プロパティを true に設定します。この機能は、システム管理者のみがシステム プロパティの設定を通じて有効にできます。

変換されたプラグインのサポート終了

ステータス : 進行中

プラットフォームからすべての変換コードとインフラストラクチャが削除されます。これは、これまで起動時に古いプラグイン形式を変換していたランタイム変換プロセスが存在しなくなることを意味します。

変換されたプラグインのインストールや有効化を試みると、UPM によりアクションがブロックされ、明確なエラー メッセージが表示されます。プラットフォーム 9 ベースの製品バージョンにアップグレードすると、すでにインストールされている変換済みプラグインは強制的に無効化されます。

Data Center プラットフォーム 9 でアプリが引き続き動作するようにするには、アプリを「transformerless」形式に移行する必要があります。

この処理を自動化するために、変換スクリプトが提供されています。詳細なガイダンスとベスト プラクティスについては、アプリ コンポーネントの Spring Java 構成に関するドキュメントを参照してください。

OpenSymphony PropertySet の完全削除

ステータス: 進行中

PropertySet を活用する次の API は、Confluence 10.0 で読み取り専用にされました。Confluence 11.0 では完全に削除されました。

• com.atlassian.confluence.user.ConfluenceUserPropertySetFactory

• com.atlassian.confluence.user.UserAccessor#getPropertySet

• com.atlassian.confluence.core.ConfluencePropertySetManager

Bandana と XStream の完全削除

ステータス: 進行中

Bandana は Confluence 10.0 で読み取り専用にされた後、Confluence 11.0 で完全に削除されます。セキュリティ上の理由により、Confluence 11.0 では XStream ライブラリもバンドルされなくなります。

次のパッケージは削除され、プラグインで使用できなくなります。

• com.atlassian.bandana*
• com.atlassian.confluence.setup.bandana*
• com.atlassian.confluence.setup.xstream*
• com.thoughtworks.xstream*

Confluence 11.0 では、Bandana データベース テーブルへの直接アクセスが不可能になります。

現在 Bandana を使用しているアプリは、11.0 にアップグレードする前に、代替ストレージ (Active Objects や SAL プラグイン設定など) に移行する必要があります。

詳細については、「Confluence 10.0 への準備」を参照してください。

コンテンツ セキュリティ ポリシー

ステータス: 完了

Confluence 11 では、"script-src" ディレクティブのコンテンツ セキュリティ ポリシー (CSP) が導入されました。以下の調整が適用されます (これらの変更に適合するように、プラグインのコードを更新する必要があります)。

1. eval の直接的および間接的な使用がすべてブロックされます。
2. すべてのインライン スクリプトがブロックされます。
3. 他のドメインから読み込まれるスクリプトは、CSP script-src ヘッダーを介して許可する必要があります。
4. インライン コードを含むスクリプト タグには、nonce 属性を含める必要があります。
5. 操作タイプが execute のキーボード ショートカットはサポートされなくなりました。

script-src CSP が有効化される仕組み

Confluence 11 では、既存のポリシーと併せて script-src CSP が既定で有効になります。この機能は、システム管理者のみがシステム プロパティの設定を通じて有効にできます。

現在この機能は既定で無効になっていますが (Confluence 11.0.0-m116 時点)、今後の EAP バージョンでは既定で有効になります。次のシステム プロパティを true に設定して有効にするか、false に設定して無効にします。

http.header.security.content.security.policy.strictness.enabled

(-Dhttp.header.security.content.security.policy.strictness.enabled=false)

上記のプロパティが有効になっている場合 (true に設定)、CSP レポート専用モードは無効になります。

eval の削除への対応

コードベースから eval 操作および eval に似た操作を削除します。これらの操作は有害であり、安全な代替手段はありません。eval を使用せずに機能を実装し、直接的および間接的な使用をブロックしてください。例として、次のようなものがあります。

1. Function コンストラクタ

2. 文字列引数を使用した setTimeout または setInterval の呼び出し

3. .html または .write を使用したスクリプトの動的な追加

4. eval 違反がスローされるため、アンダースコアのテンプレート メソッド (_.template) は使用できない

インライン スクリプトの処理

1. インラインを削除し、主要イベントの処理と併せてイベント ハンドラーを追加します (該当する場合)

2. script タグ内のコードを別の js ファイルに移動させるか、script タグに nonce 属性を追加します

   VM ファイルでの nonce の追加 

   <script type="text/javascript" nonce="$!request.getAttribute('cspNonceId')">

   soy ファイルでの nonce の追加

   // Get nonce value from request object
   public String getNonceId() {
           HttpServletRequest request = getActiveRequest();
           if (request != null) {
               Object nonceId = request.getAttribute("cspNonceId");
               return nonceId != null ? nonceId.toString() : "";
           }
           return "";
   }
   
   // Set the nonceId to the soy files data mapping
   .put("nonceId", getNonceId())
   
   
   // set the nonce value in the template
    <script type="text/javascript" {if $nonceId}nonce="{$nonceId}"{/if}>

3. 外部の URL を使用するスクリプトの場合は、CSP ヘッダーでドメインを許可します
   
   pom ファイルに以下の依存関係を追加します。

     <dependency>
               <groupId>com.atlassian.security</groupId>
               <artifactId>atlassian-secure-api</artifactId>
               <scope>provided</scope>
     </dependency>

   atlasian-plugin.xml で CSP フラグメントを作成します

   <csp name="onboarding-youtube-scripts"
            key="onboarding-csp-fragment"
            class="<FULL CLASS PATH LIKE(COM.YOUR.APP.CLASS)>"/>

   クラス ファイルを作成します

   package <PACKAGE_NAME>
   
   import com.atlassian.security.csp.api.CspDirective;
   import com.atlassian.security.csp.api.CspFragment;
   
   import java.net.URI;
   import java.util.Set;
   
   /**
    * CSP Fragment to whitelist a url
    * Registered via the {@code <csp>} module descriptor in atlassian-plugin.xml.
    */
   public class CLASS_NAME implements CspFragment {
   
       private static final Set<URI> SCRIPT_ORIGINS = Set.of(
               URI.create("<URL>")
       );
   
       @Override
       public Set<CspDirective> getCSPDirectives() {
           return Set.of(CspDirective.SCRIPT_SRC);
       }
   
       @Override
       public Set<URI> getCSPOrigins(CspDirective cspDirective) {
           if (CspDirective.SCRIPT_SRC == cspDirective) {
               return SCRIPT_ORIGINS;
           }
           return Set.of();
       }
   
       @Override
       public Set<String> getUrlPatterns() {
           return Set.of("/**");
       }
   }

JQuery 4 アップグレード

ステータス: DONE

jQuery 4 へのアップグレードを行い、すべての Data Center 製品を単一のバージョンに統一します。このアップデートによって、製品横断型アプリをより開発しやすくなります。現在、古いバージョンの jQuery を使用している製品にとっては、とりわけ効果的です。なお、この変更の一環として、jQuery migrate も削除されます。

フロントエンド コードの多くが jQuery に依存しているため、このアップグレードに伴い、アプリやカスタム統合のアップデートが必要になる可能性があります。アトラシアンはお客様の準備をサポートするため、次の製品バージョンに対して、互換性のある変更をできる限り多くバックポートしています。

• Jira Software 11.3

• Jira Service Management 11.3

• Confluence 10.2

• Bamboo 12.1

• Bitbucket 10

• Crowd 7

これにより、その他の互換性を損なう変更を心配することなく、jQuery 4 互換性についてアプリをテストできます。

さらに、AUI 10.1 が jQuery 4 をサポートするようになりました。アトラシアンは、今後も引き続き jQuery の Web リソースを提供します。必要に応じてセキュリティ パッチを迅速に展開するためにも、これらのリソースをご利用ください。jQuery 4 は今後のアーリー アクセス プログラム (EAP) リリースに含まれる予定ですが、最初の数バージョンではご利用になれない可能性があります。

jQuery 4 へのアップグレード方法

Frontend AMD and WRM resources removal

ステータス: 進行中

Removed AMD module: confluence/tooltip
Replacement: AUI Tooltip component

Removed global: AJS.Tooltip 

削除された AMD モジュール: confluence/tooltip 

Removed web resources: confluence.web.resources:tooltip  and com.atlassian.confluence.plugins.confluence-frontend:tooltip 

JQuery plugins removal

ステータス: DONE

jQuery アップグレードの一環として、Confluence から次の jQuery プラグインを削除しています。代替手段は提供されません。

Fancybox プラグイン

利用状況 (11.0 からサポート対象外): $jqueryElement.fancybox([settings])

代替手段: 提供されていません。必要に応じて、プラグインに独自のプラグインのコピーをバンドルする必要があります。

削除されたウェブリソース

• com.atlassian.confluence.plugins.confluence-frontend:jquery-fancy-box

• confluence.web.resources:fancy-box

JSON プラグイン

利用状況 (11.0 からサポート対象外): $.toJSON(str)

代替手段: JSON.stringify() - JavaScript | MDN

削除されたウェブリソース

• com.atlassian.confluence.plugins.confluence-frontend:jquery-json

Mousewheel プラグイン

利用状況 (11.0 からサポート対象外): $jqueryElement.on('mousewheel', handler)

Replacement: Element: wheel event - Web APIs | MDN 

Viewport plugin

$jqueryElement.viewport([settings]) 

代替手段: 提供されていません。必要に応じて、プラグインに独自のプラグインのコピーをバンドルする必要があります。

React 19 のアップグレード

ステータス: 進行中

React 19 にアップグレードしています。React は DC 製品のコア フロントエンド依存関係です。さらに、Atlaskit などの他の重要なフロントエンド ライブラリの依存関係でもあります。このため、React を使用している Marketplace アプリも React 19 にアップグレードする必要があります。

このアップグレードの影響範囲:

• Web リソース com.atlassian.plugins:react で React 19 が提供されます

• 今後は、クライアント側拡張機能 (CSE) で React 19 を使用します

アトラシアンは、移行に役立つツールの詳細を学び、開発していく中で、開発者向けドキュメントを更新していきます。

詳細は「Data Center での React 19 アップグレード (Jira 12、Confluence 11、Bitbucket 11、Bamboo 13、Crowd 8)」のコミュニティ投稿をご覧ください

変更の実装内容

このセクションでは、実装済みの変更の詳細について、それらが最初に提供されたマイルストーンごとに紹介します。テストするマイルストーン バージョンの判断にご利用ください。

EAP 04 – 2026 年 5 月 06 日

Milestone 11.0.0-m148

以下が含まれます。

• Look and Feel customization editing is now disabled by default

• CSP strict mode enabled by default
• JQuery Fancybox and JSON plugins removed
• 軽微なバグ修正

EAP 03 – 2026 年 4 月 08 日

Milestone 11.0.0-m116

以下が含まれます。

• システム プロパティを介してより厳格なコンテンツ セキュリティ ポリシー (CSP) を設定できるようになりました

• 既定のアウトバウンド リクエスト拒否リストが SSRF に対する保護として追加されました
• 軽微なバグ修正
• JQuery 4

EAP 02 – 2026 年 3 月 3 日

マイルストーン 11.0.0-m79

含まれるもの

• ルック & フィール レイアウトの編集が既定で無効に
• 軽微なバグ修正

EAP 01 – 2026 年 2 月 10 日

マイルストーン 11.0.0-m55

含まれるもの

• カスタム HTML 編集が既定で無効に
• 軽微なバグ修正