Confluence 11.0 への準備
このドキュメントでは、既存のプラグインおよびアプリに Confluence 11.0 との互換性があるかどうかを確認したい、Confluence 開発者向けの情報をご案内します。
このページで、新しいマイルストーンの公開タイミング、およびその内容をご確認ください。ベータ版のリリース後、正式なリリース ノートを公開します。
最新のマイルストーン
2026 年 7 月 13 日 | 11.0.0-m202 |
このマイルストーンで問題が見受けられた場合
Confluence EAP のヘッダーで [フィードバック] ボタンを押すか、課題を登録してお知らせください。
On this page:
予定されている変更
このセクションでは、導入予定の変更の概要について紹介します。アプリへの影響の検討にお役立てください。変更の実装が完了したら、そのタイミングと対象のマイルストーンをご案内します。
このリリースは Data Center ライセンスのみをサポートします。サーバー ライセンスをお持ちの場合は、アップグレードのオプションをご確認ください。
カスタム HTML 編集が既定で無効に
ステータス: DONE
セキュリティを向上させるため、カスタム HTML の編集が既定で無効になりました。カスタム HTML を有効にする必要がある場合は、confluence.custom.html.config.enabled システム プロパティを true に設定します。この機能を有効にできるのは、システム管理者のみです。
ルック & フィール レイアウトの編集が既定で無効に
ステータス: DONE
セキュリティ向上のため、ルック & フィールのカスタマイズ設定が既定で無効になりました。管理者は既存のレイアウト設定の表示のみを行うことができます。ルック & フィールのカスタマイズを有効にするには、confluence.custom.look.and.feel.enabled システム プロパティを true に設定します。この機能を有効にできるのは、システム管理者のみです。
Server-Side Request Forgery (SSRF) に対する保護を強化
ステータス: DONE
Server-Side Request Forgery (SSRF) 攻撃に対する保護を強化するために、既定のアウトバウンド リクエスト拒否リストを導入し、許可リストの適用範囲を追加のプラットフォーム コンポーネントに拡大しました。この拒否リストにより、クラウド メタデータ サービス (AWS、Google Cloud、Azure) やリンクローカル IP アドレスといった機密性の高い内部エンドポイント、および危険な非 HTTP プロトコル (例: file://、ftp://、ldap://) へのアウトバウンド接続が自動的にブロックされます。
さらに、以前は許可リストをバイパスしていた複数のプラットフォーム コンポーネント (OAuth2、ガジェット、UPM/Marketplace、アプリケーション リンク、Webhook など) が許可リストの設定を順守するようになり、プラットフォーム全体で一貫したアウトバウンド リクエストのフィルタリングが確保されます。
変更の背景
この取り組みの目的は、SSRF に関連するセキュリティ脆弱性に対処することです。SSRF により、攻撃者はサーバーを利用して、内部または外部リソースに対する不正なリクエストを行うことができます。
必要なアクション
これらの保護機能は既定で有効になっているため、設定は不要です。Jira、Confluence、JSM インスタンスに対して、すぐに使える SSRF 保護を提供します。必要に応じて、管理者は JVM システム プロパティ (-Dssrf.denylist.enabled=false など) を介して拒否リストを無効にできますが、本番環境での無効化は推奨されません。
SSRF 攻撃を軽減するために、適切な許可リストを設定してください。許可リストは SSRF に対する効果的な防御策です。拒否リストでは一部の明らかな SSRF 脆弱性を防ぐことはできますが、究極の解決策として、包括的な許可リストを設定する必要があります。
拒否リストをより細かく管理するには、以下のシステム プロパティを使用します。
| プロパティ | 既定 | 目的 |
|---|---|---|
| true | 拒否リスト全体を有効または無効にする |
| true | DNS ベースの IP チェックを有効または無効にする |
| true | プロトコル拒否リストを有効または無効にする |
| | ループバック/ローカルホストの範囲と非公開ネットワークを有効または無効にする |
ローカル ドライブからの復元を既定で無効化
ステータス: DONE
アプリのセキュリティを向上させるため、ローカル ドライブからのデータの復元は既定で無効になりました。ローカル ドライブからのデータの復元を有効にするには、confluence.restore.from.local.drive.enabled システム プロパティを true に設定します。この機能は、システム管理者のみがシステム プロパティの設定を通じて有効にできます。
変換されたプラグインのサポート終了
ステータス: DONE
プラットフォームからすべての変換コードとインフラストラクチャが削除されます。これは、これまで起動時に古いプラグイン形式を変換していたランタイム変換プロセスが存在しなくなることを意味します。
変換されたプラグインのインストールや有効化を試みると、UPM によりアクションがブロックされ、明確なエラー メッセージが表示されます。プラットフォーム 9 ベースの製品バージョンにアップグレードすると、すでにインストールされている変換済みプラグインは強制的に無効化されます。
Data Center プラットフォーム 9 でアプリが引き続き動作するようにするには、アプリを「transformerless」形式に移行する必要があります。
この処理を自動化するために、変換スクリプトが提供されています。詳細なガイダンスとベスト プラクティスについては、アプリ コンポーネントの Spring Java 構成に関するドキュメントを参照してください。
OpenSymphony PropertySet の完全削除
ステータス: 進行中
PropertySet を活用する次の API は、Confluence 10.0 で読み取り専用にされました。Confluence 11.0 では完全に削除されました。
com.atlassian.confluence.user.ConfluenceUserPropertySetFactorycom.atlassian.confluence.user.UserAccessor#getPropertySetcom.atlassian.confluence.core.ConfluencePropertySetManager
Confluence 11.0 ではデータを移行できなくなります。アップグレードする前に移行を完了する必要があります。
移行ガイダンスについては、「Confluence 10.0 への準備」で詳細を参照してください。
Bandana と XStream の完全削除
ステータス: 進行中
Bandana は Confluence 10.0 で読み取り専用にされた後、Confluence 11.0 で完全に削除されます。セキュリティ上の理由により、Confluence 11.0 では XStream ライブラリもバンドルされなくなります。
次のパッケージは削除され、プラグインで使用できなくなります。
com.atlassian.bandana*com.atlassian.confluence.setup.bandana*com.atlassian.confluence.setup.xstream*com.thoughtworks.xstream*
Confluence 11.0 では、Bandana データベース テーブルへの直接アクセスが不可能になります。
現在 Bandana を使用しているアプリは、11.0 にアップグレードする前に、代替ストレージ (Active Objects や SAL プラグイン設定など) に移行する必要があります。
詳細については、「Confluence 10.0 への準備」を参照してください。
これをベンダー側で実現できるように、Confluence 11.0 へのアップグレードは最新の Confluence 10.2 リリースからのみサポートされます。Confluence 11.0 にアップグレードする際には、事前に最新の Confluence 10.2 リリースにアップグレードする必要があります。
コンテンツ セキュリティ ポリシー
ステータス: 完了
Confluence 11 では、"script-src" ディレクティブのコンテンツ セキュリティ ポリシー (CSP) が導入されました。以下の調整が適用されます (これらの変更に適合するように、プラグインのコードを更新する必要があります)。
- eval の直接的および間接的な使用がすべてブロックされます。
- すべてのインライン スクリプトがブロックされます。
- 他のドメインから読み込まれるスクリプトは、CSP script-src ヘッダーを介して許可する必要があります。
- インライン コードを含むスクリプト タグには、nonce 属性を含める必要があります。
- 操作タイプが execute のキーボード ショートカットはサポートされなくなりました。
script-src CSP が有効化される仕組み
Confluence 11 では、既存のポリシーと併せて script-src CSP が既定で有効になります。この機能は、システム管理者のみがシステム プロパティの設定を通じて有効にできます。
現在この機能は既定で無効になっていますが (Confluence 11.0.0-m116 時点)、今後の EAP バージョンでは既定で有効になります。次のシステム プロパティを true に設定して有効にするか、false に設定して無効にします。
http.header.security.content.security.policy.strictness.enabled
(-Dhttp.header.security.content.security.policy.strictness.enabled=false)
上記のプロパティが有効になっている場合 (true に設定)、CSP レポート専用モードは無効になります。
eval の削除への対応
コードベースから eval 操作および eval に似た操作を削除します。これらの操作は有害であり、安全な代替手段はありません。eval を使用せずに機能を実装し、直接的および間接的な使用をブロックしてください。例として、次のようなものがあります。
Function コンストラクタ
文字列引数を使用した setTimeout または setInterval の呼び出し
.htmlまたは.writeを使用したスクリプトの動的な追加eval 違反がスローされるため、アンダースコアのテンプレート メソッド (_.template) は使用できない
インライン スクリプトの処理
インラインを削除し、主要イベントの処理と併せてイベント ハンドラーを追加します (該当する場合)
script タグ内のコードを別の js ファイルに移動させるか、script タグに nonce 属性を追加します
VM ファイルでの nonce の追加<script type="text/javascript" nonce="$!request.getAttribute('cspNonceId')">soy ファイルでの nonce の追加// Get nonce value from request object public String getNonceId() { HttpServletRequest request = getActiveRequest(); if (request != null) { Object nonceId = request.getAttribute("cspNonceId"); return nonceId != null ? nonceId.toString() : ""; } return ""; } // Set the nonceId to the soy files data mapping .put("nonceId", getNonceId()) // set the nonce value in the template <script type="text/javascript" {if $nonceId}nonce="{$nonceId}"{/if}>- 外部の URL を使用するスクリプトの場合は、CSP ヘッダーでドメインを許可しますpom ファイルに以下の依存関係を追加します。
<dependency> <groupId>com.atlassian.security</groupId> <artifactId>atlassian-secure-api</artifactId> <scope>provided</scope> </dependency>atlasian-plugin.xml で CSP フラグメントを作成します<csp name="onboarding-youtube-scripts" key="onboarding-csp-fragment" class="<FULL CLASS PATH LIKE(COM.YOUR.APP.CLASS)>"/>クラス ファイルを作成しますpackage <PACKAGE_NAME> import com.atlassian.security.csp.api.CspDirective; import com.atlassian.security.csp.api.CspFragment; import java.net.URI; import java.util.Set; /** * CSP Fragment to whitelist a url * Registered via the {@code <csp>} module descriptor in atlassian-plugin.xml. */ public class CLASS_NAME implements CspFragment { private static final Set<URI> SCRIPT_ORIGINS = Set.of( URI.create("<URL>") ); @Override public Set<CspDirective> getCSPDirectives() { return Set.of(CspDirective.SCRIPT_SRC); } @Override public Set<URI> getCSPOrigins(CspDirective cspDirective) { if (CspDirective.SCRIPT_SRC == cspDirective) { return SCRIPT_ORIGINS; } return Set.of(); } @Override public Set<String> getUrlPatterns() { return Set.of("/**"); } }
JQuery 4 アップグレード
ステータス: DONE
jQuery 4 へのアップグレードを行い、すべての Data Center 製品を単一のバージョンに統一します。このアップデートによって、製品横断型アプリをより開発しやすくなります。現在、古いバージョンの jQuery を使用している製品にとっては、とりわけ効果的です。なお、この変更の一環として、jQuery migrate も削除されます。
フロントエンド コードの多くが jQuery に依存しているため、このアップグレードに伴い、アプリやカスタム統合のアップデートが必要になる可能性があります。アトラシアンはお客様の準備をサポートするため、次の製品バージョンに対して、互換性のある変更をできる限り多くバックポートしています。
Jira Software 11.3
Jira Service Management 11.3
Confluence 10.2
Bamboo 12.1
Bitbucket 10
Crowd 7
これにより、その他の互換性を損なう変更を心配することなく、jQuery 4 互換性についてアプリをテストできます。
さらに、AUI 10.1 が jQuery 4 をサポートするようになりました。アトラシアンは、今後も引き続き jQuery の Web リソースを提供します。必要に応じてセキュリティ パッチを迅速に展開するためにも、これらのリソースをご利用ください。jQuery 4 は今後のアーリー アクセス プログラム (EAP) リリースに含まれる予定ですが、最初の数バージョンではご利用になれない可能性があります。
フロントエンド AMD および WRM リソースの削除
ステータス: 進行中
削除された AMD モジュール: confluence/tooltip置き換え先: AUI Tooltip コンポーネント
削除されたグローバル変数: AJS.Tooltip
削除された AMD モジュール: confluence/tooltip
削除された Web リソース: confluence.web.resources:tooltip および com.atlassian.confluence.plugins.confluence-frontend:tooltip
JQuery プラグインの削除
ステータス: DONE
jQuery アップグレードの一環として、Confluence から次の jQuery プラグインを削除しています。代替手段は提供されません。
Fancybox プラグイン
利用状況 (11.0 からサポート対象外): $jqueryElement.fancybox([settings])
代替手段: 提供されていません。必要に応じて、プラグインに独自のプラグインのコピーをバンドルする必要があります。
削除されたウェブリソース
com.atlassian.confluence.plugins.confluence-frontend:jquery-fancy-boxconfluence.web.resources:fancy-box
JSON プラグイン
利用状況 (11.0 からサポート対象外): $.toJSON(str)
代替手段: JSON.stringify() - JavaScript | MDN
削除されたウェブリソース
com.atlassian.confluence.plugins.confluence-frontend:jquery-json
Mousewheel プラグイン
利用状況 (11.0 からサポート対象外): $jqueryElement.on('mousewheel', handler)
置き換え先: Element: wheel event - Web APIs | MDN
Viewport プラグイン
$jqueryElement.viewport([settings])
代替手段: 提供されていません。必要に応じて、プラグインに独自のプラグインのコピーをバンドルする必要があります。
React 19 のアップグレード
ステータス: 進行中
React 19 にアップグレードしています。React は DC 製品のコア フロントエンド依存関係です。さらに、Atlaskit などの他の重要なフロントエンド ライブラリの依存関係でもあります。このため、React を使用している Marketplace アプリも React 19 にアップグレードする必要があります。
このアップグレードの影響範囲:
Web リソース
com.atlassian.plugins:reactで React 19 が提供されます今後は、クライアント側拡張機能 (CSE) で React 19 を使用します
アトラシアンは、移行に役立つツールの詳細を学び、開発していく中で、開発者向けドキュメントを更新していきます。
詳細は「Data Center での React 19 アップグレード (Jira 12、Confluence 11、Bitbucket 11、Bamboo 13、Crowd 8)」のコミュニティ投稿をご覧ください
Jackson 3 upgrade
ステータス: 進行中
We're upgrading Jackson 2 to Jackson 3 as a part of platform work. Jackson handles the serialisation and deserialisation across the product. If your plugin uses Jackson or relies on atlassian-rest-v2 you will need to begin migration to Jackson 3. The official Jackson guide can be found at Jackson 3 Migration Guide
Important changes in 11.0.0-m202
EAP 11.0.0-m202 has migrated all usages of Jackson in REST specific API to Jackson 3, and has moved some packages in that process.
Libraries migrated and moved:
- confluence-rest-jersey-jackson2 is renamed to confluence-rest-jersey-jackson, including the package rename to be com.atlassian.confluence.plugins.rest.jersey.jackson
(instead of jackson2.*). - confluence-rest-plugin-
jackson2 is renamed to confluence-rest-plugin-jackson,including a package rename to com.atlassian.confluence.plugins.rest.jackson.* (instead of jackson2.*). - New Jackson3 rest module confluence-rest-serialization-jackson3 as drop-in replacement of confluence-rest-serialization-jackson2
If your plugin uses any of the java api objects in REST calls, you will need to make sure the plugin is migrated to Jackson 3. You will also need to update any <rest> module descriptors in your atlassian-plugin.xml to specify the usage of Jackson 3. This is done by including use-jackson="3" in the opening tag. Example:
<rest key="rest-api" path="/api" version="1.0" use-jackson="3"/>
This tag tells atlassian-rest-v2 to use the Jackson 3 ObjectMapper when handling serialisation and deserialisation of REST requests.
If you have any tests that build any ObjectMapper objects, you may also need to specify the Jakarta annotations library:
<!-- Jackson 3 jakarta-xmlbind module is required transitively when a unit test
builds a real ObjectMapper (jackson-databind itself is visible via provided scope). -->
<dependency>
<groupId>tools.jackson.module</groupId>
<artifactId>jackson-module-jakarta-xmlbind-annotations</artifactId>
<scope>test</scope>
</dependency>
変更の実装内容
このセクションでは、実装済みの変更の詳細について、それらが最初に提供されたマイルストーンごとに紹介します。テストするマイルストーン バージョンの判断にご利用ください。
EAP 07 – 2026 年 7 月 13 日
Milestone 11.0.0-m202
含まれるもの
- Migration of REST to Jackson 3
- 軽微なバグ修正
EAP 06 - 2026 年 6 月 15 日
Milestone 11.0.0-m177
含まれるもの
- 軽微なバグ修正
EAP 05 - 2026 年 6 月 02 日
Milestone 11.0.0-m168
含まれるもの
- 添付ファイルの同時並行アップロード
- 軽微なバグ修正
EAP 04 – 2026 年 5 月 06 日
Milestone 11.0.0-m148
以下が含まれます。
ルック & フィール カスタマイズの編集が既定で無効化
- CSP strict モードが既定で有効化
- JQuery Fancybox および JSON プラグインを削除
- 軽微なバグ修正
EAP 03 – 2026 年 4 月 08 日
Milestone 11.0.0-m116
以下が含まれます。
システム プロパティを介してより厳格なコンテンツ セキュリティ ポリシー (CSP) を設定できるようになりました
- 既定のアウトバウンド リクエスト拒否リストが SSRF に対する保護として追加されました
- 軽微なバグ修正
- JQuery 4
EAP 02 – 2026 年 3 月 3 日
マイルストーン 11.0.0-m79
含まれるもの
- ルック & フィール レイアウトの編集が既定で無効に
- 軽微なバグ修正
EAP 01 – 2026 年 2 月 10 日
マイルストーン 11.0.0-m55
含まれるもの
- カスタム HTML 編集が既定で無効に
- 軽微なバグ修正
最新のドキュメントをお探しの場合は、Confluence EAP スペースで最新のドキュメントをご確認ください。
新しい開発者コミュニティがあるのをご存知ですか? community.developer.atlassian.com/ で、ぜひご確認ください。新しい EAP リリースの公開時にはお知らせカテゴリに投稿する予定です。