Confluence 11.0 への準備
このドキュメントでは、既存のプラグインおよびアプリに Confluence 11.0 との互換性があるかどうかを確認したい、Confluence 開発者向けの情報をご案内します。
このページで、新しいマイルストーンの公開タイミング、およびその内容をご確認ください。ベータ版のリリース後、正式なリリース ノートを公開します。
最新のマイルストーン
08 April 2026 | 11.0.0-m116 |
このマイルストーンで問題が見受けられた場合
Confluence EAP のヘッダーで [フィードバック] ボタンを押すか、課題を登録してお知らせください。
On this page:
予定されている変更
このセクションでは、導入予定の変更の概要について紹介します。アプリへの影響の検討にお役立てください。変更の実装が完了したら、そのタイミングと対象のマイルストーンをご案内します。
このリリースは Data Center ライセンスのみをサポートします。サーバー ライセンスをお持ちの場合は、アップグレードのオプションをご確認ください。
カスタム HTML 編集が既定で無効に
ステータス: DONE
セキュリティを向上させるため、カスタム HTML の編集が既定で無効になりました。カスタム HTML を有効にする必要がある場合は、confluence.custom.html.config.enabled システム プロパティを true に設定します。この機能を有効にできるのは、システム管理者のみです。
ルック & フィール レイアウトの編集が既定で無効に
ステータス: DONE
セキュリティを向上させるため、ルック & フィール レイアウトの設定が既定で無効になりました。管理者は既存のレイアウト設定の表示のみを行うことができます。レイアウト編集を有効にするには、confluence.site.layout.edit.enabled システム プロパティを true に設定します。この機能を有効にできるのは、システム管理者のみです。
Enhanced Server-Side Request Forgery (SSRF) protection
ステータス: DONE
To strengthen protection against Server-Side Request Forgery (SSRF) attacks, we have introduced a default outbound request denylist and extended allowlist enforcement to additional platform components. The denylist automatically blocks outbound connections to sensitive internal endpoints - such as cloud metadata services (AWS, Google Cloud, Azure) and link-local IP addresses - as well as dangerous non-HTTP protocols (e.g., file://, ftp://, ldap://).
Additionally, several platform components that previously bypassed the allowlist - including OAuth2, Gadgets, UPM/Marketplace, Application Links, and Webhooks - now respect the allowlist configuration, ensuring consistent outbound request filtering across the platform.
Why we are making this change
This work is being undertaken to address security vulnerabilities related to SSRF, which could allow attackers to use servers to make unauthorized requests to internal or external resources.
必要なアクション
These protections are enabled by default and require no configuration, providing immediate out-of-the-box SSRF protection for Jira, Confluence, and JSM instances. If needed, administrators can disable the denylist via JVM system properties (e.g., -Dssrf.denylist.enabled=false), though this is not recommended for production environments.
To mitigate SSRF attacks, we ask you to configure a proper allowlist, which is an effective defense against SSRF. While a denylist can help protect against some obvious SSRF vulnerabilities, the ultimate solution should be a comprehensive allowlist.
More granular control of the denylist is achievable via the following system properties:
| プロパティ | 既定 | 目的 |
|---|---|---|
| true | enables or disables the entire denylist |
| true | enables or disables DNS based IP checking |
| true | enables or disables the protocol denylist |
| | enables or disables the loopback/localhost ranges and the private networks |
変換されたプラグインのサポート終了
ステータス : 進行中
プラットフォームからすべての変換コードとインフラストラクチャが削除されます。これは、これまで起動時に古いプラグイン形式を変換していたランタイム変換プロセスが存在しなくなることを意味します。
変換されたプラグインのインストールや有効化を試みると、UPM によりアクションがブロックされ、明確なエラー メッセージが表示されます。プラットフォーム 9 ベースの製品バージョンにアップグレードすると、すでにインストールされている変換済みプラグインは強制的に無効化されます。
Data Center プラットフォーム 9 でアプリが引き続き動作するようにするには、アプリを「transformerless」形式に移行する必要があります。
この処理を自動化するために、変換スクリプトが提供されています。詳細なガイダンスとベスト プラクティスについては、アプリ コンポーネントの Spring Java 構成に関するドキュメントを参照してください。
OpenSymphony PropertySet の完全削除
ステータス: 進行中
PropertySet を活用する次の API は、Confluence 10.0 で読み取り専用にされました。Confluence 11.0 では完全に削除されました。
com.atlassian.confluence.user.ConfluenceUserPropertySetFactorycom.atlassian.confluence.user.UserAccessor#getPropertySetcom.atlassian.confluence.core.ConfluencePropertySetManager
Confluence 11.0 ではデータを移行できなくなります。アップグレードする前に移行を完了する必要があります。
移行ガイダンスについては、「Confluence 10.0 への準備」で詳細を参照してください。
Bandana と XStream の完全削除
ステータス: 進行中
Bandana は Confluence 10.0 で読み取り専用にされた後、Confluence 11.0 で完全に削除されます。セキュリティ上の理由により、Confluence 11.0 では XStream ライブラリもバンドルされなくなります。
次のパッケージは削除され、プラグインで使用できなくなります。
com.atlassian.bandana*com.atlassian.confluence.setup.bandana*com.atlassian.confluence.setup.xstream*com.thoughtworks.xstream*
Confluence 11.0 では、Bandana データベース テーブルへの直接アクセスが不可能になります。
現在 Bandana を使用しているアプリは、11.0 にアップグレードする前に、代替ストレージ (Active Objects や SAL プラグイン設定など) に移行する必要があります。
詳細については、「Confluence 10.0 への準備」を参照してください。
これをベンダー側で実現できるように、Confluence 11.0 へのアップグレードは最新の Confluence 10.x リリースからのみサポートされます。Confluence 11.0 にアップグレードする際には、事前に最新の Confluence 10.x リリースにアップグレードする必要があります。
Content Security Policy
Status: IN PROGRESS
In Confluence 11, the content security policy (CSP) for the "script-src" directive has been introduced. The following adjustments apply (plugins must update their code to comply with these changes):
- All direct and indirect uses of eval are blocked.
- All inline scripts are blocked.
- Scripts loaded from other domains must be allowed via the CSP script-src header.
- Script tags with inline code must include a nonce attribute.
- Keyboard shortcuts with operation type execute are no longer supported.
How is script-src CSP enabled
Confluence 11 enables this by default alongside existing policies. Only system administrators can enable this feature via the configuring of system properties.
That said, currently, this feature is disabled by default (as of confluence 11.0.0-m116) but it will be enabled by default in future EAP versions. Set the following system property to true to enable it, or false to disable it:
http.header.security.content.security.policy.strictness.enabled
(e.g. -Dhttp.header.security.content.security.policy.strictness.enabled=false)
The CSP report-only mode is disabled when the property above is enabled (set to true).
Handling eval removal
Remove eval and eval-like operations from the codebase. They are harmful and have no safe alternative. Implement features without eval and block direct and indirect uses. Examples include:
Function constructor
Calls to setTimeout or setInterval with string arguments
Dynamically adding scripts using
.htmlor.writeusages of underscore’s template method (_.template) will not work as it would throw an eval violation
Handling inline scripts
Remove inline and add event handlers along with handling key events where applicable
Move code in script tags to separate js file or add nonce attribute to the script tag
Adding nonce in VM files<script type="text/javascript" nonce="$!request.getAttribute('cspNonceId')">Adding nonce in soy files// Get nonce value from request object public String getNonceId() { HttpServletRequest request = getActiveRequest(); if (request != null) { Object nonceId = request.getAttribute("cspNonceId"); return nonceId != null ? nonceId.toString() : ""; } return ""; } // Set the nonceId to the soy files data mapping .put("nonceId", getNonceId()) // set the nonce value in the template <script type="text/javascript" {if $nonceId}nonce="{$nonceId}"{/if}>- For scripts using external urls, allow the domain in the CSP HeaderAdd the following dependency in your pom file.
<dependency> <groupId>com.atlassian.security</groupId> <artifactId>atlassian-secure-api</artifactId> <scope>provided</scope> </dependency>Create a CSP fragment in atlasian-plugin.xml<csp name="onboarding-youtube-scripts" key="onboarding-csp-fragment" class="<FULL CLASS PATH LIKE(COM.YOUR.APP.CLASS)>"/>Create the Class Filepackage <PACKAGE_NAME> import com.atlassian.security.csp.api.CspDirective; import com.atlassian.security.csp.api.CspFragment; import java.net.URI; import java.util.Set; /** * CSP Fragment to whitelist a url * Registered via the {@code <csp>} module descriptor in atlassian-plugin.xml. */ public class CLASS_NAME implements CspFragment { private static final Set<URI> SCRIPT_ORIGINS = Set.of( URI.create("<URL>") ); @Override public Set<CspDirective> getCSPDirectives() { return Set.of(CspDirective.SCRIPT_SRC); } @Override public Set<URI> getCSPOrigins(CspDirective cspDirective) { if (CspDirective.SCRIPT_SRC == cspDirective) { return SCRIPT_ORIGINS; } return Set.of(); } @Override public Set<String> getUrlPatterns() { return Set.of("/**"); } }
変更の実装内容
このセクションでは、実装済みの変更の詳細について、それらが最初に提供されたマイルストーンごとに紹介します。テストするマイルストーン バージョンの判断にご利用ください。
EAP 03 – 2026 年 4 月 08 日
Milestone 11.0.0-m116
Contains:
A stricter Content Security Policy (CSP) is now configurable via a system property
- A default outbound request denylist has been added as protection against SSRF
- 軽微なバグ修正
EAP 02 – 2026 年 3 月 3 日
マイルストーン 11.0.0-m79
含まれるもの
- ルック & フィール レイアウトの編集が既定で無効に
- 軽微なバグ修正
EAP 01 – 2026 年 2 月 10 日
マイルストーン 11.0.0-m55
含まれるもの
- カスタム HTML 編集が既定で無効に
- 軽微なバグ修正
最新のドキュメントをお探しの場合は、Confluence EAP スペースで最新のドキュメントをご確認ください。
新しい開発者コミュニティがあるのをご存知ですか? community.developer.atlassian.com/ で、ぜひご確認ください。新しい EAP リリースの公開時にはお知らせカテゴリに投稿する予定です。