Jira Software 10.0.x リリース ノート

Jira Software リリース ノート

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

さらに読む

Read the upgrade notes for important info about this release and see the full list of issues resolved.

 互換性のあるアプリケーション

互換性のある Jira アプリケーションをお探しの場合、次のページをご参照ください。


Data Center セキュリティ ハブのご紹介

We’re pleased to introduce the Data Center Security Hubyour central place for Data Center security documentation.

セキュリティ ハブを使うと、ご利用の Data Center 環境のセキュリティをプロアクティブに管理および強化できます。Data Center 製品のセキュリティの複雑な状況を効果的にナビゲートするのに役立つ幅広いリソースが提供されています。このようなリソースには、インスタンスの設定、製品の健全性の監視、脆弱性の管理などが含まれます。

また、管理者向けに Data Center のセキュリティ チェックリストとベスト プラクティスをリリースしました。このガイドは、アトラシアンのオンプレミス ソフトウェアを安全にデプロイして管理するための有益なインサイトを提供します。

私たちはお客様の意見を大切にし、フィードバックを積極的に受け付けています。こちらのコミュニティ投稿でご意見をお聞かせください。

Atlassian Data Center Platform 7 へのアップグレード

Jira 10.0 には Atlassian Data Center Platform 7 へのアップグレードが含まれます。このアップグレードにより、Atlassian Marketplace アプリの中断や重大な変更が減り、セキュリティ変更への対応の質が向上します。

Platform 7 へのアップグレードや、セキュリティおよびパフォーマンスの強化を注力対象とした取り組みの一環として、次の更新を行っています。

  • サードパーティ製ライブラリの数を減らし、依存関係管理を改善
  • 最新のセキュリティ パッチやバグ修正のメリットを得られるように、アトラシアンおよびサードパーティの多数のコンポーネントをアップグレードしました
  • Java API 全体の定義を改善
  • Java 17 の必要最低限のサポートを実装しました

Platform 7 へのアップグレードに備えた準備

ダーク テーマの導入

この機能はまだ開発中で、一部の領域はまだサポートされていません。

このリリースでは、ダーク テーマが初めて部分的に利用できるようになりました。目の疲れを軽減させ、コンテンツを読みやすくし、作業環境全体で視覚的な調和を実現する新しい体験をお楽しみください。

This feature is switched on by default with the Original theme selected. Additionally, the look and feel won’t apply color choices to both themes if your instance uses a custom header color, it will default to the light theme.

テーマを変更するには、[プロファイル] > [テーマ] に移動し、[ライト]、[ダーク]、または [システムに一致] を選択します。

API の変更と追加

テーマを無効化するには、次の機能フラグを無効化します。com.atlassian.jira.theme.switcher

サポート対象外の領域

この機能はベータ リリースであるため、一部の領域はまだサポートされていません。

サポート対象外の領域の完全な一覧

次の要素ではまだダーク テーマがサポートされていません。

  • ダッシュボード
  • プラン
  • [Jira の改善にご協力ください] ダイアログ
  • Automation for Jira
  • 管理領域の一部
  • 一部のレポート
  • Websudo ページ

次の領域には既知の視覚的な問題があります。

  • [プロファイルの概要] ページ
  • 管理領域の一部:
    • [トラブルシューティングとサポート] ページ
    • [個人用アクセス トークンの管理] ページ
    • [用語] ページ
    • [コンテンツ配信ネットワーク] ページ
    • [レート制限] ページ
  • バックログ ビュー
  • [プロジェクトの作成] ダイアログ

Jira Service Management のみ:

  • カスタマー ポータル

Java 17 が既定に

Jira 10.0 has been recompiled in JDK 17 with the Java 16 language level. This means that from now on you won’t be able to run Jira in lower Java versions (8 and 11).

バイナリ インストーラーが取り除かれたため、Jira への Java のバンドルは終了しています。Java を手動でインストール

Jira Software Data Center を移行し、REST v2 を完全に公開

Platform 7 と Jira 10.0 では、REST リソースの実装に使用される Java API が再設計されました。これを REST v2 と呼んでいます。

この変更は、アプリを開発している Marketplace パートナーにのみ影響します。基盤となるライブラリ、Jackson、Jersey は最新バージョンにアップグレードされました。また、REST v2JAX-RS 2 を使っています。REST v2 への移行ガイドを確認

H2 データベース エンジンのサポートを終了

Jira 10.0 では、H2 データベースと H2 ライブラリそのもののサポートを Jira のディストリビューションから削除しました。複数のセキュリティ脆弱性に対応するため、H2 データベース エンジン用の JDBC ドライバーは Jira にバンドルされなくなります。また、H2 の組み込みダッシュボードを使って Jira 10.0 を評価することもできなくなります。

Jira 自動化の更新

Jira 9.0 のローンチ時に、Jira の一部として Jira 自動化 (旧称 Automation for Jira) を統合しました。これは、Jira または Universal Plugin Manager (UPM) 経由で便利にアップグレードできます。Jira 自動化のエクスペリエンスを最適化かつ強化するため、Jira 10.0 からは Jira 自動化をバンドル バージョンとしてのみ提供することにしました。したがって、今後は Jira のリリース ノートで Jira 自動化の更新情報もお伝えします。

また、これは、Jira 自動化の今後のバージョンは Atlassian Marketplace で提供されなくなることを意味します。ただし、既存のバージョンのセキュリティは引き続きサポートされます。お客様は引き続き、Jira をアップグレードすることで、新しい機能や改善にアクセスできます。

Jira 10.0 時点では、Jira 自動化のバンドル バージョンは、このリリースに含まれる変更 (REST v2 への移行を含む) に合わせて更新されています。

ベロシティ テンプレートと許可リストのセキュリティ強化

すべての Data Center 製品について、検証可能な安全性を備えたインストール ディレクトリの用意を進めています。これらの変更により、攻撃者がファイルシステムへのアクセスを悪用することが難しくなるだけでなく、カスタマーが製品のインストール状態を確認できるようになります。

Jira 10.0 以降の場合、ファイルシステムに保存されているすべての Velocity ファイル (共有ファイル、ローカル ホームファイル、その他) を明示的に許可リストに登録する必要があり、特定のファイル タイプである必要があります。 .jar ファイル内に保存されているファイルや、プラグイン内にバンドルされているファイルは影響を受けません。

さらに、Velocity テンプレート内のすべてのメソッド呼び出しは、明示的に許可リストに登録する必要があります。詳細については、「Velocity 方式の許可リストの設定」および「Velocity ファイルとファイル タイプの許可リストの設定」を参照してください。

現在 Velocity 方式の許可リストはデバッグ モードです。これにより、アプリ開発者はこのメカニズムに適応し、当社側ではメインの許可リストを完成させて問題のリスクを最小限に抑えることができます。デバッグ モードは、今後リリースされる直近の長期サポート リリースで無効化されます。

新しい既定のエンドポイント セキュリティ アノテーション

エンドポイントのセキュリティ強化を目的として、エンドポイントへのアクセスをより適切に管理できるようにするための、Webwork アクション、サーブレット、REST エンドポイント、およびフィルター用の一連の新しいアノテーションを導入します。これらのアノテーションは、意図されたユーザーのみがアプリケーション エンドポイントにアクセスできるような改良が加えられています。

Jira 10.0 以降では、アノテーションが指定されていないと、ライセンスが付与されたユーザーのみがリソースにアクセスできるようになります。これを変更するには、より低いセキュリティ確認レベルを必要とするすべてのエンドポイントにアノテーションを付けます。また、すべての管理エンドポイントとシステム管理エンドポイントにアノテーションを設定し、より厳重なセキュリティ対策を講じることもできます。

ここをクリックして展開...

エンドポイントへのアクセスで問題が発生している場合は、デバッグ ログを有効化してリクエストを再実行することで、問題が改善されたエンドポイント セキュリティに関連しているかどうかを確認できます。次のロガーを設定する必要があります。

  1. For REST endpoints, set com.atlassian.plugins.rest.v2.security.authentication.AuthenticatedResourceFilter to TRACE and search logs for AuthenticatedResourceFilter.

  2. その他すべてのエンドポイントについては、次のすべてを設定します。

  • com.atlassian.jira.web.filters.annotations.ServletSecurityAnnotationsFilter
  • com.atlassian.jira.web.filters.annotations.JspChecker
  • com.atlassian.jira.web.dispatcher.JiraWebworkActionDispatcher
  • com.atlassian.jira.plugin.servlet.ServletModuleContainerServlet
  • com.atlassian.jira.web.filters.security.AccessCheckFilter

to DEBUG and search logs for [SECURITY ANNOTATION CHECK].

これが発生するシナリオは 2 つ考えられます。

  1. ログイン済みのユーザーのみがアクセスできるはずのエンドポイントが、Jira 9 において許容範囲が広すぎたため、匿名のトラフィックを許可していた。デフォルトのセキュリティ確認レベルをログイン済みのユーザーのみに引き上げることで、このようなエンドポイントに対する匿名アクセスをブロックしました。ご利用の連携でこのような適切な認証を要求しないエンドポイントが使われている場合、それを更新する必要があります。

  2. An endpoint that should be accessible to anonymous users has been overlooked during the update (by Atlassian or an app vendor) and now blocks anonymous access. In this case, either Jira itself or the app needs to be fixedcontact Atlassian Support or the Marketplace app developer, depending on the endpoint type. If the app is developed in-house by your organisation, you can refer to our guide that will help you prepare your Data Center app to comply with secure endpoint defaults.
    Unfortunately, for security reasons, there is no way to change the security clearance level without recompiling code, so fixing requires a new Jira or app version and can't be adjusted by a property.

セキュリティ モニタリングおよびアラート

管理者は重大なセキュリティ脅威を迅速に特定して対処できるようになりました。この機能は、重要な設定の変更やアクセス権限の変更などの不審なアクティビティを監視および検出するのに役立ちます。

システムで脅威が特定されると、管理者にメール アラートが送信されます。これらのアラートには、起こりうるセキュリティ上の脅威を効果的に調査して対処するための推奨アクションが含まれています。

権限のあるユーザーは、この機能を使用してアラートを表示、検索、分類できます。アラートを見ると、ユーザーの過去のアクティビティを示す詳細なグラフが表示されます。この機能により、セキュリティ チームのメンバーは、ユーザーの過去のアクティビティに関する有益なインサイト情報を得ることができます。

機能フラグなしで添付ファイルを Amazon S3 に保管可能

特に大規模なデータ ストレージ要件をお持ちのお客様やデータ ストレージのニーズが成長しているお客様にとって、S3 オブジェクト ストレージは Network File System (NFS) よりも強化されたエンタープライズ体験を提供します。Amazon S3 オブジェクト ストレージの設定の詳細

In Jira 9.11, we introduced the possibility of configuring a custom storage methodAmazon S3 (Simple Storage Service). This feature was available behind the feature flag com.atlassian.jira.attachments.storage.configurable.

Jira 10.0 以降では、互換性を持たないすべての API が取り除かれているため、この動作を機能フラグなしで使用できます。添付ファイルを Amazon S3 に保管する方法を確認

S3 と互換性のある API を備えたサードパーティ製のオブジェクト ストアに添付ファイルを保管することもできます。ただし、アトラシアンでは、Amazon S3 以外のオブジェクト ストアに保存されている添付ファイルに対する直接的なサポートは提供していません。

ワークフロー レイアウトで MD5 を廃止

ワークフロー レイアウトの読み取り/書き込みを行う際の MD5 ハッシュの使用を Jira Data Center から削除します。結果として、 Atlassian Marketplace から新しくインポートされたワークフローに対して [ワークフローとしてエクスポート] を使った際に layout.json ファイルが作成されることはなくなります。引き続き layout.v2.json ファイルが作成されます。

既存のワークフロー レイアウトを MD5 からさらにセキュアな SHA256 ハッシュ関数に切り替えるアップグレード タスクを実装しています。アップグレード タスクは Jira 10.0 へのアップグレード中に実行されます。

Jira Data Center から Jira Cloud への切り替えに興味をお持ちのお客様は、まず Jira 10.0 以降にアップグレードする必要があります。同様に、Jira Cloud から Jira Data Center への移行を検討しているお客様は、Jira 10.0 以降のリリースでのみ行えます。

ユーザー ライセンス枯渇前の早期アラート

新しいヘルス チェック アラートで Jira Software および Jira Service Management のライセンス シートを追跡しましょう。制限に近づくと警告が表示されるため、ライセンスをアップグレードするか、ユーザー数を管理する時間を確保できます。さらに、このアラートをカスタマイズして、利用可能なシートの特定の数または割合について通知することもできます。既定では、10% に設定されています。Jiraのライセンス制限の通知用にヘルス チェックをセットアップする方法を確認

Jira 10.0 にアップグレードする前に

プラットフォーム リリースには、過去のバージョンとの互換性を持たない大規模な変更 (重大な変更) が複数含まれます。このような変更により、将来のリリースでより広範な開発を行うための強固な基盤を確立しています。

このリリースでは、セキュリティとパフォーマンスを向上させるために、コア アーキテクチャを大幅に変更しました。アップグレードする前に Jira 10.0 アップグレード ノートで重要なアップグレード手順や解決済みの課題の一覧をご確認ください。

ご利用の Marketplace アプリの互換性を確認する

Jira 10.0 はメジャー リリースであるため、アプリの API に下位互換性のない変更が導入されています。カスタムの内製アプリを構築している場合は、それらの互換性を確認して更新する必要があります。

Atlassian Marketplace や別のソースからアプリをインストールしている場合、それらについてもアップグレード前に互換性の確認や更新を行う必要があります。アプリの互換性を確認するには、「アプリケーションの更新に伴うアプリの互換性を確認する」にアクセスするか、ご利用のアプリにご利用の製品バージョンとの互換性があるかどうかを Atlassian Marketplace でご確認ください。

解決済みの課題

See the full list of the issues we’ve resolved throughout the lifecycle of Jira Software 10.0.

10.0.0 で解決済みの課題
リリース:  

T キー 要約 ステータス
Loading...
Refresh

10.0.1 で解決済みの課題
2024 年 9 月 9 日にリリース

T キー 要約 ステータス
Loading...
Refresh

最終更新日: 2024 年 10 月 30 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.