Jira Software 11.0.x アップグレード ノート
以下は、Jira Software 11.0.x にアップグレードする際の重要注意事項です。このリリースの新機能と改善点に関する詳細は、「Jira Software 11.0 リリースノート」を参照してください。
プラットフォーム リリースには、過去のバージョンとの互換性を持たない大規模な変更 ("重大な変更") が複数含まれます。このような変更により、将来のリリースでより広範な開発を行うための強化な基盤を確立しています。
To increase security and performance, we’ve made changes in our core architecture that require apps to bundle their libraries. We’re collaborating with our Marketplace partners on these changes, however, some apps may not be immediately compatible with the new platform upon release and cause product experience breaks. We recommend that you review your apps before upgrading to avoid service disruptions for your organization.
To check app compatibility, visit Checking app compatibility with application updates or the Atlassian Marketplace to see if your app hosting is compatible with your product version.
次のセクションにジャンプ
Due to changes in the index structure, you’ll need to perform a full re-index when upgrading to Jira 11. More about Jira indexing
Spring と Jakarta のアップグレード
To maintain high security standards and keep dependencies supported and up to date, we’re upgrading Spring to the 6.x line, Jakarta to EE Platform 10, Apache Tomcat to 10.1 as well as other libraries that depend on Spring and Jakarta.
Apache Tomcat のアップグレードでは、Jakarta Servlet 仕様に沿った変更も導入されています。カスタム サーバー設定またはコネクターを利用している場合は、アップグレードする前に次の点を確認してください。
- カスタム server.xml 設定、特に "javax.servlet" API への参照を確認します。Tomcat 10.1 は "jakarta.servlet" 名前空間に移行されています。
- Verify that any connectors (HTTP, AJP, etc.) are still supported and properly configured in Tomcat 10.1.
- Confirm that any security or TLS/SSL settings are compatible with Tomcat 10.1’s default cryptographic protocols.
Tomcat 10.1 で導入された変更の詳細については、Apache Tomcat の公式ドキュメントを参照してください。
jQuery 3 にアップグレードする
We’ve upgraded jQuery from version 2 (with jquery-migrate@1.4.1) to version 3 (with jquery-migrate@3.4.0) to align on jQuery versions across all Data Center products. This means a significant jQuery version uplift for products containing older versions of jQuery that will make developing cross-product apps easier.
For more details, refer to the jQuery Core 1.9 upgrade guide and jQuery Core 3.0 upgrade guide
Removal of deprecated components in AUI 10
We’re removing some outdated AUI 10 components with design and accessibility issues (Dropdown 1 and Toolbar 1) and updating internal dependencies to better support jQuery 3 and proactively address security issues.
LESS のサポート終了
セキュリティとパフォーマンスを強化するために、実行時に LESS を CSS に変換する機能が削除されます。それに伴い、コンパイル時に LESS を CSS にトランスパイルする必要があります。
グローバル シリアル化フィルター
Java の逆シリアル化、Velocity、Struts、XStream のセントラル ブロックリストに依存するグローバル シリアル化フィルターを実装します。このフィルターは、公開されているガジェット チェーンを通じてリモート コード実行 (RCE) に対して脆弱であると認識されている特定のクラスやパターンをブロックするように設計されています。
REST エンドポイントにスコープを追加して、OAuth 2.0 2LO を使用する
REST エンドポイントのセキュリティと制御を強化するために、@ScopesAllowed を導入しました。
@ScopesAllowed アノテーションをエンドポイントに追加し、OAuth 2.0 クライアント認証情報トークン (2LO) を使用してアクセスできるようにします。
たとえば、このアノテーションでは、このエンドポイントへのアクセスを提供する前に、アクセス トークンに WRITE スコープが必要です。
@POST
@ScopesAllowed(requiredScope = "WRITE")
public void createEntity(...) {}受信リンクの Jira OAuth 2.0 スコープをご確認ください
OAuth 2.0 セキュリティの向上
We're implementing several important changes to our OAuth 2.0 authentication process to enhance security and efficiency.
- Enforced global maximum time on access tokens: Access tokens will now have a maximum validity period of 1 hour. This change is designed to improve security by ensuring tokens are refreshed more frequently. You can change the value by setting the
atlassian.oauth2.provider.access.token.expiration.secondssystem property. - Maximum lifetime of client ID and secret: The lifetime of client IDs and secrets is now 90 days by default. However, you can adjust this setting to a maximum of 730 days. This change aims to encourage regular rotation of credentials. You can change the value by setting the
atlassian.oauth2.provider.client.credentials.expiration.secondssystem property. - Rotation of client credentials: We recommend regularly rotating your client credentials, including both the client ID and secret, to improve security. Setting up a rotation policy helps reduce the risk if credentials are ever compromised.
- Revocation of rotated client credentials: Once client credentials (client ID and secret) are rotated, the previous credentials can be revoked. This ensures that only the most recent credentials remain active, reducing the risk of unauthorized access.
- Revocation of user's refresh tokens: We now provide the ability to revoke all refresh tokens associated with a specific user. Additionally, administrators have the authority to revoke all refresh tokens for users within the system. This capability allows for greater control over session management and security.
- Maximum number of refresh tokens: The maximum number of refresh tokens allowed per client ID and user is limited to 25. This limitation helps manage resource usage and ensures that token proliferation is kept in check. You can change the value by setting the
atlassian.oauth2.provider.refresh.token.limit.per.client.usersystem property.
基本認証を既定で無効化
基本認証による認証を既定で無効にする作業を進めています。これは、わずかに残るユースケースをサポートする代替手段を開発し、成熟させつつ、基本認証を完全に廃止するための第一歩です。
Tomcat プロトコルのアップデート
Jira に用意されているプロトコルがアップデートされ、Tomcat プロトコルの拡張としてパスワード暗号化がサポートされるようになりました。
Crowd プロトコル | Tomcat プロトコルに基づく | パスワード暗号化でサポートされる属性 |
|---|---|---|
com.atlassian.secrets.tomcat.protocol.Http11NioProtocolWithPasswordEncryption | Http11NioProtocol |
|
com.atlassian.secrets.tomcat.protocol.Http11Nio2ProtocolWithPasswordEncryption | Http11Nio2Protocol |
|
com.atlassian.secrets.tomcat.protocol.AjpNioProtocolWithPasswordEncryption | AjpNioProtocol |
|
com.atlassian.secrets.tomcat.protocol.AjpNio2ProtocolWithPasswordEncryption | AjpNio2Protocol |
|
The APR/Native library and the APR/Native Connectors, including both AJP and HTTP, are deprecated in Tomcat 10 and will be removed starting from Tomcat 10.1.x. Specifically, the Http11AprProtocol (HTTP connector) and the AjpAprProtocol (AJP connector) are deprecated. Consequently, com.atlassian.secrets.tomcat.protocol.AjpAprProtocolWithPasswordEncryption and com.atlassian.secrets.tomcat.protocol.Http11AprProtocolWithPasswordEncryption are no longer supported in Jira 11.
サポート対象プラットフォームの変更
See what changes have been made to supported platforms in this Jira release. For more details, check out Supported platforms.
サポート終了のお知らせ
We’ve removed support for:
- JDK 17
- PostgreSQL 15
- PostgreSQL 14
- PostgreSQL 13
- PostgreSQL 12
- MySQL 8.0
- Oracle 18c
- MSSQL Server 2017
Added support
We’ve added support for:
- JDK 21
- PostgreSQL 17
- MySQL 8.4 LTS
このバージョンの Jira は Java 21 でのみ実行されます。
アプリ開発者向けの情報
アプリに関するすべての重要な変更については、「Jira 11.0 への準備」を参照してください。
アップグレード手順
Jira バージョン 10.x.x からアップグレードする場合
- 利用可能なすべてのアップグレード方法およびアップグレード前の手順を含む完全なアップグレード手順について、「Jira アプリケーションのアップグレード」をご参照ください。
- ご自身の環境に合わせたアップグレードをご検討の場合、[Jira 管理] > [アプリケーション] > [アップグレードを計画] をご確認ください。アップグレード先のバージョンの提案やアップグレード前のチェックの実行が行われ、詳細な手順を含むカスタムのアップグレード ガイドが提供されます。