Java 近期新聞:Vector API、Spring 升級及 CVE、Payara 平臺、Groovy 和 TomEE 升級

語言: CN / TW / HK

Java 近期新聞綜述,內容主要涉及 OpenJDK、JEP 426、Oracle 釋出 4 月關鍵補丁更新、JDK 19、Liberica JDK 及原生映象工具包升級、多個 Spring 點版本和里程碑版本、Payara 平臺 April 2022 版本釋出、Quarkus 2.8.1.Final、Apache Groovy 4.0.2、Apache TomEE 8.0.11、JobRunr 5.0.1 和一項 JReleaser 1.0 升級。

OpenJDK

在從 Draft 狀態提升到 Candidate 狀態一週後,JEP 426( Vector API,第四輪孵化 )又從 Candidate 狀態 提升 到了 JDK 19 的 Proposed to Target 狀態。在 Panama 專案的支援下,這個 JEP 包含了針對前三輪孵化的改進:JEP 417( Vector API第三輪孵化 ,在 JDK 18 中交付)、JEP 414( Vector API第二輪孵化 ,在 JDK 17 中交付)以及 JEP 338( Vector API第一輪孵化 ,在 JDK 16 中作為 孵化器模組 交付)。JEP 426 提議增強了 Vector API,以便按照 JEP 424( 外部函式 & 記憶體API預覽版 )的定義,從 MemorySegment 載入或向 MemorySegment 儲存向量。評審預計將於 2022 年 4 月 28 日結束。

作為 2022 年 4 月釋出的 關鍵補丁更新 的一部分,Oracle 釋出JDK 18.0.117.0.3 、11.0.15、8u331 和 7u341 的版本更新。要了解更多細節,請查閱 JDK 18JDK 17JDK 11JDK 8JDK 7 的釋出說明。

JDK 19

JDK 19 早期訪問構建Build 19 在上週釋出,它是 Build 18 的 升級 ,修復了各種 問題 。要了解更多細節資訊,請檢視 釋出說明

對於 JDK 19 ,我們鼓勵開發者通過 Java Bug資料庫 報告缺陷。

Liberica JDK 和原生映象工具包

在 Oracle 釋出 2022 年 4 月關鍵補丁更新的同時,BellSoft 釋出Liberica JDK 的 18.0.1、17.0.3、11.0.15 和 8u332 版本,這是他們 OpenJDK 的下游發行版。

BellSoft 還 釋出 了 Liberica 原生映象工具包(NIK)的一個新版本 22.1.0 和一個升級版本 21.3.2。新特性包括:在指向分析過程中對堆進行增量、併發掃描,縮短原生映象構建時間;支援 JFR 事件 GarbageCollectionGCPhasePauseSafepointBeginSafepointEndExecutionSample ;一個專門在原生映象中搜索有漏洞的 log4j 庫並生成告警的功能。這個版本還廢棄了在執行時連結映象的 --allow-incomplete-classpath 選項,它現在是預設選項。我們鼓勵開發者使用新增的 --link-at-build-time 選項在構建時連結映象。

Spring Framework

對於 Spring 團隊,這可是忙碌的一週,因為他們提供了部分 專案 的多個候選版本和點版本。

在通往 Spring Boot 2.7.0 的道路上, 第一個候選版本 釋出,其中包括 Bug 修復、文件改進和依賴升級。新特性包括 Kafka 重試主題自動配置和 GraphQL RSocket 支援自動配置。要了解關於這個版本的更多資訊,請檢視 釋出說明

Spring Boot 2.6.7 釋出 ,提供了 38 項 Bug 修復、文件改進和依賴升級,涉及:Spring Framework 5.3.19、Spring Data 2021.1.4、Spring Session 2021.1.3、Spring Security 5.6.3、Micrometer 1.8.5、Reactor 2020.0.18 和 Apache Tomcat 9.0.62。要了解關於這個版本的更多資訊,請檢視 釋出說明

Spring Boot 2.5.13 釋出 ,提供了 31 項 Bug 修復、文件改進和依賴升級,涉及:Spring Framework 5.3.19、Spring Data 2021.0.11、Spring Session 2021.0.6、Spring Security 5.5.6、Micrometer 1.7.11、Reactor 2020.0.18 和 Apache Tomcat 9.0.62。

這兩個 Spring Boot 版本都解決了 VMware 上週 宣佈 的 CVE-2022-22968: Spring框架資料繫結規則漏洞 。要了解關於這個版本的更多資訊,請檢視 釋出說明

VMware 宣佈 了 CVE-2022-22969,即 spring-security-oauth2中的拒絕服務(DoS) ,2.5.2 之前的 Spring Security OAuth 版本容易受到通過 OAuth 2.0 客戶端應用程式發起授權請求的拒絕服務攻擊。Spring Security OAuth 2.5.2 解決了這個 CVE。

在通往 Spring for GraphQL 1.0 的道路上, 第一個候選版本 釋出,它具有以下新特性:支援 RSocket 協議的 GraphQL 服務端和客戶端;支援將 GraphQL over HTTP 媒體型別( application/graphql+json )作為 預設媒體型別 ;改進的 GraghQLSource Builder。

Spring Data 2021.2.0-RC1、2021.1.4 和 2021.0.11 版本 釋出 ,提供了 Bug 修復和依賴升級,涉及: Spring Data Commons 2.7.0-RC1、2.6.4、2.5.11; Spring Data MongoDB 3.4.0-RC1、3.3.4、3.2.11; Spring Data JDBC 2.4.0-RC1、2.3.4、2.2.11; Spring Data Redis 2.7.0-RC1、2.6.4、2.5.11。

同樣, Spring Session 2021.2.0-RC1、2021.1.3 和 2021.0.6 版本 釋出 ,提供了 Bug 修復和依賴升級,涉及: Spring Session Core 2.7.0-RC1、2.6.3、2.5.6; Spring Session Data Redis 2.7.0-RC1、2.6.3、2.5.6; Spring Session JDBC 2.7.0-RC1、2.6.3、2.5. 6; Spring Session Hazelcast 2.7.0-RC1、2.6.3、2.5.6; Spring Session MongoDB 2.7.0-RC1、2.6.3; Spring Session for Apache Geode 2.7.0-RC1、2.6.1、2.5.6。

在通往 Spring Security 5.7.0 的道路上, 第一個候選版本 釋出,提供了 Bug 修復、文件改進和依賴升級。新特性包括:新增 SecurityContextHolderFilter 類,允許顯式儲存 SecurityContext 介面;針對 Cross-Origins Policies 頭增加 DSL 支援;允許在受信任客戶端配置 Proof Key for Code Exchange(PKCE) ;支援 SAML 2.0 Login 和 Single Logout XML。要了解關於這個版本的更多資訊,請檢視 釋出說明

Spring Security 5.6.35.5.6 版本 釋出 ,提供了 Bug 修復和依賴升級,涉及:Spring Framework 5.3.19;Spring Data 2021.1.3 和 2021.0.10;Reactor Netty 1.0.18;Project Reactor 2020.0.18。

Payara

Payara 公司 釋出Payara平臺 的 April 2022 版。5.2022.2 社群版包括 13 項 Bug 修復,兩項元件升級、三項改進和三項安全修復。5.38.0 企業版包括兩項 Bug 修復、一項改進和四項安全修復。兩個版本共有的新特性包括:一個新的 gRPC擴充套件 ;Payara 伺服器中 Spring Framework WAR 打包應用程式 Spring4Shell 漏洞的熱補丁;Jakarta EE 9 和 PrimeFaces 可以搭配使用 Eclipse Transformer。

Payara 還宣佈,Payara 5 社群版的生命週期將在下一個版本之後結束,Payara 6 社群版將與即將釋出的 Jakarta EE 10 GA 版本保持一致。如果開發者決定繼續使用 Payara 5 平臺,那麼我們建議遷移到 Payara 5 企業版。

Quarkus

在 Quarkus 2.8.0 釋出一週後,紅帽公司提供了一個 維護版本 ,即 Quarkus 2.8.1.Final,帶來了 Bug 修復和文件改進。要了解關於這個版本的更多細節,請查閱 更新日誌

Apache Groovy

Apache軟體基金會 (ASF)提供了 Apache GroovyApache TomEE 的點版本。

Groovy 4.0.2 釋出 ,特性包括:初步支援 JDK 19;改進 Gradle 元資料,解決了 groovy-all 屬性的一個問題;初步淘汰與 JEP-411( 廢棄並準備刪除安全管理器 )相關的安全策略檔案;建議使用 JDK 18 或 JDK 19 的開發者在使用 groovysh 工具時,將環境變數 JAVA_OPTS 設定為 -Djava.security.manager=allow 。要了解更多細節,可以檢視 釋出說明 ,或閱讀這篇關於 Groovy 4.0(於 2022 年 1 月下旬釋出)的更詳細的 報道

TomEE 是經過 Jakarta EE 9.1 Web Profile 認證的應用伺服器,其 8.0.11 版本也已經 釋出 ,特性包括 Bug 修復、依賴升級和改進,如用 ASF Matomo 替換 Google Analytics;解決 GitHub Actions 因目前自動生成材料清單而導致 PullRequest Builds 失敗的問題;更新 tomee.xml 檔案,使其在網站更新後能指向文件的正確位置。要了解更多細節,請查閱 釋出說明

JobRunr

JobRunr 5.0 釋出 後不到一個月,5.0.1 版本 正式釋出 ,其中包括 Bug 修復和一項改進,即作業成功後的儀表板日誌將保留。這是對作業成功後元資料被清除的破壞性變化的迴應。要了解更多細節,請查閱 釋出說明

JReleaser

JReleaser 的一個小更新 釋出 ,包括廢棄 GoFish 軟體包管理器,因為專案負責人已經關閉了貢獻庫。 

原文連結: