Confluence 7.15 への準備

Confluence Development Releases

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

このドキュメントでは、既存のプラグインおよびアプリに Confluence 7.15 との互換性があるかどうかを確認したい、Confluence 開発者向けの情報をご案内します。

このページで、新しいマイルストーンの公開タイミング、およびその内容をご確認ください。ベータ版のリリース後、正式なリリース ノートを公開します。

最新のマイルストーン
2021 年 11 月 18 日

7.15.0-rc1

ダウンロード
このマイルストーンで問題が見受けられた場合

Confluence EAP のヘッダーで [フィードバック] ボタンをクリックするか、課題を起票してお知らせください。

On this page:

予定されている変更

このセクションでは、導入予定の変更の概要について紹介します。アプリへの影響の検討にお役立てください。変更の実装が完了したら、そのタイミングと対象のマイルストーンをご案内します。 

セキュリティの強化

ステータス: 進行中

コア コンポーネントとライブラリを特定して、最新バージョンにアップグレード中です。公式 API は中断しません。ただし、特定のライブラリ、過渡的な依存関係、動作が変更される場合があります。

リリースに近いこのバージョンでアップグレードしたライブラリと依存関係のリストを提供します。

XWork ブロックリスト

ステータス: 完了

Confluence は、OGNL 式のブロックリストを xWork スタックに組み込んでいます。これは、Confluence のセキュリティを強化するためと、将来的に OGNL 攻撃を阻止するための追加の予防対策として行われました。

Confluence の xWork のフォーク (1.0.3-atlassian-8) は OGNL パーサーを使用して、特定のクラスおよび Java パッケージへのアクセスをブロックします。つまり、入力パラメータや OGNL 式ベースの Velocity テンプレート変数などに影響します。これは、Struts の内部セキュリティ メカニズムに似ています

Confluence では、次の 3 つのオプションを使用して xwork.xml で XWork セキュリティ ブロックリストを設定します。

  • xwork.excludedClasses - 除外されるクラスのカンマ区切りのリスト。

  • xwork.excludedPackageNames - 特定のパッケージまたはそのサブパッケージ内のすべてのクラスを制限するために使用される、除外されるパッケージのカンマ区切りのリスト。

  • Xwork.allowedClasses - 親パッケージが制限されている場合や、その静的メソッドが使用されている場合でも、許可されているとマークされる特定のクラスのカンマ区切りのリスト。

注: このブロックリストと併せて、静的メソッドとフィールドの使用は引き続き制限されます。これは、OGNL セキュリティのために Confluence が Webwork で備えている拡張機能です。

ブロックリスト/許可リストで設定された値...

xwork.excludedClasses

java.lang.Object, java.lang.Runtime, java.lang.System, 
java.lang.Class, java.lang.ClassLoader, java.lang.Shutdown, 
java.lang.ProcessBuilder, java.lang.Thread, sun.misc.Unsafe, 
com.opensymphony.xwork.ActionContext

xwork.excludedPackageNames

ognl, java.io , java.net, java.nio, javax, freemarker.core, 
freemarker.template, freemarker.ext.jsp, freemarker.ext.rhino, 
sun.misc, sun.reflect, javassist, org.apache.velocity, 
org.objectweb.asm, org.springframework.context, 
com.opensymphony.xwork.util, org.apache.tomcat, 
org.apache.catalina.core, 
org.wildfly.extension.undertow.deploymentjava.lang.reflect, 
com.atlassian.cache, com.atlassian.confluence.util.http, 
com.atlassian.failurecache, com.atlassian.vcache, 
com.atlassian.sal.api.net, com.google.common.cache, 
com.google.common.net, com.hazelcast, java.jms, java.rmi, 
javax.management, javax.naming, org.apache.catalina.session, 
org.apache.commons.httpclient, org.apache.httpcomponents.httpclient,
 org.apache.http.client, org.ehcache, com.google.common.reflect, 
com.sun.jmx, com.sun.jna, javax.xml, jdk.nashorn, net.bytebuddy, 
net.sf.cglib, org.apache.bcel, org.javassist, org.ow2.asm, 
sun.awt.shell, sun.corba, sun.invoke, sun.launcher, sun.management, 
sun.misc, sun.net, sun.nio, sun.print, sun.reflect, sun.rmi, 
sun.security, sun.tracing, sun.tools.jar, com.atlassian.activeobjects, 
com.atlassian.hibernate, java.sql, javax.persistence, javax.sql, 
liquibase, net.java.ao, net.sf.hibernate, 
com.atlassian.confluence.setup.bandana, com.atlassian.filestore, 
com.atlassian.media, com.google.common.io, java.util.jar, 
java.util.zip, org.apache.commons.io, 
com.atlassian.confluence.impl.util.sandbox, 
com.atlassian.confluence.util.io, 
com.atlassian.confluence.util.sandbox, com.atlassian.quartz, 
com.atlassian.scheduler, com.atlassian.utils.process, 
com.atlassian.util.concurrent, io.atlassian.util.concurrent, 
java.util.concurrent, org.apache.commons.exec, 
org.springframework.expression.spel, 
org.springframework.util.concurrent, org.quartz, oshi

xwork.allowedClasses

com.atlassian.confluence.util.GeneralUtil, java.io.Serializable, 
java.lang.reflect.Proxy, net.sf.hibernate.proxy.HibernateProxy, 
net.sf.cglib.proxy.Factory, java.io.ObjectInputValidation, 
net.java.ao.Entity, net.java.ao.RawEntity, 
net.java.ao.EntityProxyAccessor

XStream 許可リストの変更

ステータス: 完了

Confluence が開発モードで実行されている際は、初期設定で XStream 許可リストが有効になりました。 

Bandana と XStream のセキュリティ設定に関する詳細については、開発者ドキュメントの「Confluence の永続性: セキュリティ設定」をご参照ください。

WRM のアップグレード

ステータス: 遅延

の更新: パフォーマンスが低下したため、WRM のアップグレードを元に戻しました。この問題の解決に取り組んでおり、次回の Confluence リリースで WRM をアップグレードする予定です。 

このリリースでは、WRM (Web Resource Manager) を 4.1.8 から 5.4.7 にアップグレードしました。変更履歴で変更の概要を確認できます。 

API に重大な変更はないため、このアップグレードはアプリに影響を与えないと予測しています。ただし、影響を与える可能性のある実装の変更がいくつかあります。

Java の変更

atlassian-plugins-webresource モジュールの実装に関する詳細が一部変更されました。アプリにこのモジュールと直接の依存関係がある場合は、これらの変更の影響を受ける可能性があります。これらの変更のリストについては「バージョン 5 アップグレード ガイド」をご参照ください。

JavaScript の変更

WRM.require 関数は、以前は jQuery.Deferred オブジェクトを返していました。WRM 5 ではネイティブ Promise を返します。

WRM.require の戻り値を使用している場合は、次のようになります。

var thenable = WRM.require('a-resurce-or-context-name')

返されるオブジェクトの動作には微妙な違いがあります。これらは『バージョン 5 アップグレード ガイド』で説明されています。

次を使用している場合、 

WRM.require('a-resource-or-context-name')

または

WRM.require('a-resource-or-context-name', function callMeWhenEverythingLoads() { ... })

すべて、これまでと同じように機能します。

Hibernate のアップグレード

ステータス: 事前通知

Hibernate をからアップグレードする作業中です5。2に5。4。これには、非推奨の機能/インターフェイスの削除などの変更を破るが含まれます。

削除された注目すべき機能:

  • JDBC パラメータ化されたクエリのサポート。実装するクラスはHibernateContentQueryFactory名前付きパラメータが代わりに使用されていることを確認するために検証はである必要があります。
  • RegionAccessStrategy他名アクセスストラテジーインターフェイスが置き換えられました。

詳細については「Hibernate 5.2 から 5.4 へのアップグレートには重要な変更が含まれています」をご確認ください。 

現在、この作業は 7.16 を対象としています。変更がある場合はお知らせいたします。

editor-v3 の削除 

ステータス: 事前通知

Confluence 6.14 でエディターを TinyMCE v4 にアップグレードした際、v3 エディター (frontend.editor.v4 / frontend.editor.v4.disable)) に戻せるサポート対象外のダーク機能を導入しました。もうテストされておらず、信頼性に欠けるため、今後の Confluence リリースでこのダーク機能フラグを削除する予定です。

これが起こると、editor-v3 WRM コンテキストは読み込まれなくなります。このコンテキストでのみ使用されるリソースは、完全に削除できます。editor コンテキストと editor-v4 コンテキストは変更されません。この変更によって、editor-v4 のリソースは editor. に安全に移動できます。

基本認証への変更事項

ステータス: 事前通知

管理者には基本認証を無効にする機能が提供されて、代わりに統合による個人用アクセス トークンの使用が推奨される予定です。基本認証の無効化に関する詳細をご確認くださいAtlassian Server と Data Center の SSO4.2.0 に手動でアップグレードすることで、今すぐテストを開始できます。

現在、この機能は 7.16 を対象としています。 

ページと添付ファイルの履歴バージョンに対する変更

ステータス: 事前通知

履歴ページと添付ファイルの各バージョンに対する保持ルールを導入する作業の一環として、ページ履歴と添付ファイル履歴におけるバージョンの番号付け方法を変更しました。

ユーザーによって、またはジョブにスケジュールされた保持ルールによって削除された場合は、バージョンの番号は変更されません。これによって、削除後にバージョンが並べ替えられる現在の動作に依存するアプリで問題が発生する可能性があります。 

現在、この機能は 7.16 を対象としています。 


変更の実装内容

このセクションでは、実装済みの変更の詳細について、それらが最初に提供されたマイルストーンごとに紹介します。テストするマイルストーン バージョンの判断にご利用ください。

リリース候補 - 2021 年 11 月 18 日

マイルストーン 7.15.0-rc1

  • このリリース候補には大きな変更はありません。 

ベータ 3 - 2021 年 11 月 15 日

マイルストーン 7.15.0-beta3

  • パフォーマンスが低下したため、WRM のアップグレードを元に戻します。 

ベータ 2 - 2021 年 11 月 5 日

マイルストーン 7.15.0-beta2

  • このマイルストーンには大きな変更はありません。 

ベータ 1 - 2021 年 10 月 21 日

マイルストーン 7.15.0-beta1

  • XWork ブロックリストと許可リスト

EAP 3 - 2021 年 10 月 11 日

Milestone 7.15.0-m35

  • このマイルストーンには大きな変更はありません。 

EAP 2 - 2021 年 10 月 4 日

Milestone 7.15.0-m27

  • このマイルストーンには大きな変更はありません。 

EAP 1 – 2021 年 9 月 26 日

Milestone 7.15.0-m20

  • WRM のアップグレード


最新のドキュメントをお探しの場合は、Confluence EAP スペースで最新のドキュメントをご確認ください。

Did you know we’ve got a new developer community? Head to community.developer.atlassian.com/ to check it out! We’ll be posting in the announcements category if when new EAP releases are available.

最終更新日 2021 年 11 月 18 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.