Le tour d'horizon dans l'écosystème Java de cette semaine du 28 mars 2022 présente des nouvelles d'OpenJDK, de la JEP 425, du JDK 19, du projet Loom Build 19-loom+5-429, Jakarta EE Starter Utility, des releases Spring, Payara et JetBrains sur Spring4Shell, JReleaser 1.0, Helidon 2.5.0, JHipster 7.8.1, Hibernate Search 6.1.4, Kotlin 1.6.20 et JDKMon 17.0.24.
OpenJDK
La JEP 425, Threads virtuels (Preview), a été promue de son statut JEP Draft 8277131 à Candidate. Cette JEP introduit des threads virtuels, des threads légers qui réduisent considérablement l'effort d'écriture, de maintenance et d'observation d'applications concurrentes à haut débit sur la plate-forme Java.
La JEP Draft 8284289, Improved Way of Obtaining Call Traces Asynchronously for Profiling, une fonctionnalité de type JEP, définit une API efficace pour obtenir des suivis d'appels asynchrones des traces d'appel pour le profilage à partir d'un gestionnaire de signal avec des informations sur Java et frames natives.
La JEP Draft 8284453, Optionally Record Thread Context in JFR, une fonctionnalité de type JEP, propose d'ajouter la possibilité de joindre des éléments définis par l'utilisateur au contexte des événements pertinents à la stack trace JFR standard existante.
JDK 19
Mark Reinhold, architecte en chef, Java Platform Group chez Oracle, a proposé le calendrier suivant pour la sortie du JDK 19 :
- 9 juin 2022 : Rampdown Phase One
- 21 juillet 2022 : Rampdown Phase Two
- 11 août 2022 : Initial Release Candidate
- 25 août 2022 : Final Release Candidate
- 20 septembre 2022 : General Availability
Cette proposition restera en examen pour commentaires jusqu'au 13 avril 2022 avant d'être finalisée. À l'heure actuelle, une seule nouvelle fonctionnalité, la JEP 422 : Port Linux/RISC-V, a été ciblée pour le JDK 19.
Le build 17 du JDK 19 early-access builds a été mis à disposition la semaine dernière, avec des mises à jour du build 16 qui incluent des correctifs pour divers problèmes. Plus de détails peuvent être trouvés dans les release notes.
Pour le JDK 19, les développeurs sont encouragés à signaler les bugs via le Java Bug Database.
Projet Loom
Le build 19-loom+5-429 du projet Loom early-access builds a été mis à disposition de la communauté Java et est basé sur le build 16 des builds early-access du JDK 19. Cette dernière version comprend la mise à jour de la classe ForkJoinPool qui améliore les performances dans des cas tels que la transmission de messages.
Jakarta EE Starter
Les Jakarta EE Ambassadors ont présenté la version 1.0 de l'utilitaire Jakarta Starter, un archétype Maven qui génère un exemple de code pour créer des projets de microservices Jakarta EE simples. Jakarta Starter a été testé avec les JDK 8, JDK 11 et JDK 17, et nécessite Maven 3+.
Spring Framework
En route vers Spring Cloud 2022.0.0, nom de code Kilburn, la seconde version milestone a été mise à disposition avec un certain nombre d'améliorations, de correctifs de bugs et des mises à niveau des dépendances de ses sous-projets : Spring Cloud Stream, Spring Cloud Config, Spring Cloud Kubernetes, Spring Cloud Contract, Spring Cloud Gateway, Spring Cloud Function et Spring Cloud Commons. Il y a cependant des changements de rupture. Spring Cloud 2022.0.0-M2 est compatible avec Spring Boot 3.0.0-M2. Plus de détails sur cette version peuvent être trouvés dans les release notes.
Spring Cloud Data Flow 2.9.4 a été publié qui corrige les vulnérabilités CVE-2022-22965, AKA Spring4Shell et CVE-2021-29425. Il existe également une mise à niveau des dépendances vers Spring Boot 2.5.12. Vous trouverez plus de détails sur cette version dans les release notes.
Déclarations des fournisseurs sur la vulnérabilité Spring4Shell
La déclaration de Payara sur la plate-forme Payara :
La vulnérabilité d'exécution de code à distance (Remote Code Execution RCE) détectée dans Spring Framework en Java en mars 2022 (étiquetée comme CVE-2022-22965) est peu susceptible d'avoir un impact sur ceux qui utilisent la plate-forme Payara.
Cependant, les utilisateurs qui déploient des applications packagées en WAR contenant Spring Framework dans Payara Server sont affectés par cette vulnérabilité car Payara Server partage des morceaux de code dans son implémentation de servlet, Catalina, qui était à l'origine une branche d'Apache Tomcat.
Pour atténuer le risque d'être affecté par cette vulnérabilité, nous avons mis en place un correctif urgent qui désactive efficacement le code affecté dans les modules Catalina correspondants. Ce correctif sera inclus dans les prochaines versions de Payara Community (5.2022.2) et Payara Enterprise (5.38)
La déclaration de JetBrains sur les produits JetBrains :
En collaboration avec les équipes produit, nous avons réalisé un audit des applications Web JetBrains, y compris les produits : YouTrack, Hub, TeamCity, Space, Datalore et les services : site web JetBrains et JetBrains Account.
Aucune des applications répertoriées ci-dessus n'utilise des versions vulnérables de Spring ou ne répond aux critères d'exploitation connus et ne sont donc pas concernés par les failles de sécurité découvertes. Vous pouvez vous référer aux discussions techniques suivantes concernant TeamCity, Hub et YouTrack.
JReleaser
À l'occasion du premier anniversaire de la sortie initiale de la version 0.1.0 de JReleaser, la version 1.0 attendue a été mise à disposition avec de nombreuses nouvelles fonctionnalités telles que : ajouter une fonction de formatage basée sur l'URL de téléchargement de l'éditeur ; autoriser les modèles nommés pour les propriétés appName et appVersion ; une option pour ignorer les fichiers modèles ; et ajouter une propriété packageVersion pour résoudre un problème de schéma de version avec Chocolatey.
Plus de détails sur cette version peuvent être trouvés dans la changelog et Q&A avec Andres Almiray, créateur de JReleaser, peut être trouvé dans cette actualité InfoQ.
Helidon
Oracle a publié Helidon 2.5.0 qui est livré avec : une prise en charge améliorée de l'Oracle Cloud Infrastructure (OCI) Java SDK ; l'implémentation améliorée de JAX-RS pour prendre en charge l'annotation @Path ; et un certain nombre de corrections de bugs et de mises à niveau de dépendances. De plus amples détails sur cette version peuvent être trouvés dans les release notes.
JHipster
Une semaine après la sortie de la version 7.8.0, la version 7.8.1 de JHipster a été publiée pour inclure : de nombreuses mises à niveau de bibliothèques ; et un correctif pour résoudre la CVE-2022-24815, l'injection SQL lorsque l'on créé une application avec le backend Reactive SQL. Plus de détails sur cette version peuvent être trouvés dans la changelog.
Hibernate
Hibernate Search 6.1.4.Final a été publié avec : une mise à niveau des artefacts -orm6 pour Hibernate ORM 6.0.0.Final et Annotations Hibernate Commons 6.0.0.Final ; une mise à niveau vers la dernière version des dépendances de Jakarta pour les artefacts -orm6 et -jakarta ; en utilisant une instance de l'interface SearchSort dans plusieurs requêtes avec le backend Lucene qui élimine les effets de bords ; et un correctif sur le backend Elasticsearch dans lequel le tri sur un champ dynamique qui n'a jamais été indexé.
Kotlin
JetBrains a publié Kotlin 1.6.20 avec : la prise en charge de la définition de context-dependent dans Kotlin/JVM ; l'interopérabilité améliorée avec les classes et interfaces Java génériques ; des temps de construction plus rapides résultant de la compilation parallèle d'un seul module dans le backend JVM IR ; une expérience de développement simplifiée facilitée par une compilation incrémentielle dans Kotlin/JS IR ; des améliorations avec les performances de Kotlin/Native ; et un partage de code amélioré grâce à la structure hiérarchique des projets multiplateformes. De plus amples détails sur cette version peuvent être trouvés dans cette actualité d'InfoQ.
JDKMon
La dernière version de JDKMon, un nouvel outil qui surveille et met à jour les JDK installés, a été mis à la disposition de la communauté Java. Créée par Gerrit Grunwald, ingénieur principal chez Azul, la version 17.0.24 est livrée avec : des correctifs liés à la version Linux de JDKMon ; et un remplacement de l'indicateur pour les CVE. Les versions Ubuntu des versions OpenJDK seront détectées, mais il n'y a pas de support de mise à jour dans l'API Disco.