Jekyll2026-06-03T08:57:39+00:00https://openliberty.io/ja/feed.xmlOpen LibertyOpen Liberty is the most flexible server runtime available to Earth’s Java developers. JWT 検証の強化、Java 26 サポートなど 26.0.0.42026-04-21T00:00:00+00:002026-04-21T00:00:00+00:00https://openliberty.io/ja/blog/2026/04/21/26.0.0.4

このリリースでは、JOSE ヘッダーから JWT 署名アルゴリズムを選択するサポートを導入し、Java 26 のサポートを追加しました。また、セキュリティ強化のためデフォルトの LTPA 鍵パスワードを削除し、ファイル転送の制限とセキュリティ脆弱性の修正が含まれています。

Open Liberty 26.0.0.4 の内容:

修正されたバグの一覧は、26.0.0.4 のリリースノートで確認できます。

その他の情報は、過去の Open Liberty GA リリースブログ記事をチェックしてください。

26.0.0.4 を使いアプリを開発・実行するには

Mavenを使っている場合は、`pom.xml`に以下を含めてください:

<plugin>
    <groupId>io.openliberty.tools</groupId>
    <artifactId>liberty-maven-plugin</artifactId>
    <version>3.12.0</version>
</plugin>

Gradleを使っている場合は、`build.gradle`に以下のように含めてください:

buildscript {
    repositories {
        mavenCentral()
    }
    dependencies {
        classpath 'io.openliberty.tools:liberty-gradle-plugin:4.0.0'
    }
}
apply plugin: 'liberty'

さらに、コンテナイメージを使う場合はこちら:

FROM icr.io/appcafe/open-liberty

あるいは、ダウンロードページをご覧ください。

IntelliJ IDEAVisual Studio CodeEclipse IDE に対しても、Open Liberty の開発者ツールを使って IDE 内からの開発・テスト・デバッグ・アプリ管理が可能です。

Stack Overflow で質問する

26.0.0.4 のファイル転送の変更

restConnector-2.0 機能によって提供される Liberty の FileService MBean に、新たに blocklist 属性が追加されました。この属性は server.xml ファイル内の <blockDir> 設定要素で構成されます。この属性のデフォルト値は ${server.output.dir}/resources/security です。この動作変更により、セキュリティ脆弱性 CVE-2025-14915 が解決され、デフォルトの FileTransfer アクセスが ${server.output.dir}/resources/security に制限されます。

${server.output.dir}/resources/security への FileTransfer アクセスが必要な場合は、空のブロックリストを設定することで元の動作を復元できます。

詳細については、ドキュメントを参照してください。

デフォルト LTPA 鍵パスワードの削除

セキュリティ脆弱性 CVE-2025-14917 を解決するため、デフォルトの LTPA 鍵パスワードが削除されました。

以前は、<ltpa /> 要素で keysPassword 属性が定義されていない場合、LTPA 鍵のデフォルトパスワードが使用されていました。この変更により、デフォルトパスワードはサポートされなくなりました。

既存のサーバーで、LTPA 鍵パスワードが server.xml ファイルで設定されていない場合、server.env ファイルの keystore_password が使用されます。この値は ltpa.keys ファイル内の LTPA 鍵を再暗号化します。LTPA 鍵自体は影響を受けません。keystore_password は、server create コマンドで --no-password オプションを使用しない限り、サーバー作成時に server.env ファイルに設定されます。

server.xml ファイルの <ltpa /> 要素で keysPassword が定義されておらず、server.env ファイルで keystore_password が定義されていない場合、LTPA サービスは失敗します。 次のエラーメッセージが表示されます:

CWWKS4118E: LTPA configuration error. A keysPassword attribute is not configured on the <ltpa /> element, the 'ltpa_keys_password' environment variable is not set, and the 'keystore_password' environment variable is not set.

LTPA 鍵パスワードが設定されていることを確認するには、次の手順を実行してください:

  1. server.xml ファイルの <ltpa /> 要素に keysPassword 属性が提供されているかどうかを確認します(例:<ltpa keysPassword="myKeysPassword" />)。

    • 提供されている場合、この更新は影響せず、それ以上のアクションは必要ありません。

    • 提供されていない場合は、追加*しないで*次のステップに進んでください。

  2. server.env ファイルに keystore_password 環境変数が存在するかどうかを確認します(例:keystore_password=myKeystorePassword)。

    • 存在する場合、サーバー起動時に keystore_password を使用して、以前デフォルトの keysPassword で暗号化されていた LTPA 鍵を再暗号化します。

    • 存在しない場合は、次のステップに進んでください。

  3. server.env ファイルに次の環境変数を追加します(新しいサーバー用の次のセクションで説明する ltpa_keys_password では*なく*、ここでは keystore_password を使用してください):

    keystore_password=your-desired-password

    • サーバー起動時に keystore_password を使用して、以前デフォルトの keysPassword で暗号化されていた LTPA 鍵を再暗号化します。

新しいサーバーの場合、サーバー作成時に新しい ltpa_keys_password がランダムに生成されます。これは、server create コマンドで --no-password オプションが指定されない限り、server.env ファイルに保存されます。<ltpa /> 要素で keysPassword 属性が定義されていない場合、ランダムに生成された ltpa_keys_password が使用されます。

詳細については、LTPA 設定要素を参照してください。

JOSE ヘッダーからの JWT 署名および復号化アルゴリズムの選択サポート

JSON Web Token (JWT) は、さまざまな暗号署名アルゴリズムを使用して署名できます。このリリースでは、JWT Consumer、MicroProfile JWT、OpenID Connect Client、Social Media Login 機能が、JOSE ヘッダーから JWT 署名アルゴリズムを選択することをサポートします。このサポートにより、トークンヘッダーに基づいて異なる署名アルゴリズムを使用できるようになります。

以前は、server.xml ファイルの各設定に対して、1 つの署名アルゴリズム(例:RS256)のみを設定できました。受信した JWT が異なるアルゴリズムで署名されている場合、検証は失敗していました。この更新により、JWT ヘッダーの署名アルゴリズムを検証に使用できるようになります。これにより、単一の設定内で異なる署名アルゴリズムを使用する柔軟性が提供されます。

使用方法

ヘッダーからの署名アルゴリズム選択を有効にするには、signatureAlgorithm 属性を FROM_HEADER に設定し、オプションで allowedSignatureAlgorithms 属性を設定して許可するアルゴリズムを指定します。

allowedSignatureAlgorithms が設定されていない場合、デフォルトリストには Open Liberty がサポートするすべての署名アルゴリズムが含まれます:RS256RS384RS512HS256HS384HS512ES256ES384ES512

非対称アルゴリズムとトラストストア設定で FROM_HEADER を使用する場合、公開鍵には対応するアルゴリズムのプレフィックスを付ける必要があります(例:RS256_keyalias)。検証中、サーバーは JWT のヘッダーで指定されたアルゴリズムで始まるエイリアスをトラストストアで検索します。アルゴリズムのプレフィックスが付いたエイリアスが見つからない場合、クライアントは trustedAlias 属性(jwtConsumer の場合)または trustAliasName 属性(openidConnectClientoidcLoginmpJwt の場合)で指定されたエイリアスの使用にフォールバックします(設定されている場合)。

サポートされている要素にこれらの設定を適用する方法の例については、次の server.xml ファイル設定を参照してください:

<jwtConsumer
    signatureAlgorithm="FROM_HEADER"
    allowedSignatureAlgorithms="RS256, ES384, HS512"
    ...
/>

<mpJwt
    signatureAlgorithm="FROM_HEADER"
    allowedSignatureAlgorithms="RS256, ES384, HS512"
    ...
/>

<openidConnectClient
    signatureAlgorithm="FROM_HEADER"
    allowedSignatureAlgorithms="RS256, ES384, HS512"
    ...
/>

<oidcLogin
    signatureAlgorithm="FROM_HEADER"
    allowedSignatureAlgorithms="RS256, ES384, HS512"
    ...
/>

詳細情報

サーバー設定:

ドキュメント:

Java 26 のサポート

Java 26 は、以前のバージョンに比べて新機能と拡張機能を導入した最新の Java リリースです。このリリースは長期サポート(LTS)リリースではありません。

Java 26 には 10 の新機能(JEP)があります。5 つはテスト機能で、5 つは完全に提供されています。

テスト機能:

提供された機能:

Java 26 の新しい変更 JEP 500(「Prepare to Make Final Mean Final」)は、深いリフレクションを使用する際に final フィールドの変更を制限することで、final フィールドの真の不変性の強制を開始します。 Java 26 では、このような変更は引き続き機能しますが、デフォルトで実行時警告をトリガーし、開発者がより厳格な強制に備えることができます。 将来のリリースでは、例外をスローする可能性が高く、final を真に不変にします。

開発者は、JVM フラグ(例:--illegal-final-field-mutation=deny)を使用して、この厳格な動作を早期に選択し、問題を早期に検出できます。 この変更により、プログラムの正確性、セキュリティ、および JVM 最適化が向上します。

今すぐこれらの変更を活用して、アプリケーションとマイクロサービスが Java 26 でどのように動作するかを評価する時間を増やしてください。

IBM Semeru Runtime 26 または Temurin 26 の最新リリースをダウンロードし、Open Liberty 26.0.0.4 をダウンロードしてインストールすることで、今日から始めることができます。Liberty サーバーの server.env ファイルを更新し、JAVA_HOME を Java 26 インストールディレクトリに設定してテストを開始してください。

Java 26 の詳細については、Java 26 の リリースノートページおよび API Javadoc ページを参照してください。

displayCustomizedExceptionText プロパティ

このリリースでは、displayCustomizedExceptionText 設定のドキュメントとテストが追加されました。これにより、ユーザーは Liberty のデフォルトエラーメッセージ(SRVE0218E: Forbidden や SRVE0232E: An exception occurred など)を、より明確なユーザー定義メッセージでオーバーライドできます。

この機能は、シンプルな server.xml ファイル設定を通じて有効化され、カスタムメッセージを特定の HTTP ステータスコード(403 および 500)にマッピングできます。

テストにより、これらのカスタムメッセージがサポートされているすべてのプラットフォームで Liberty のデフォルトを正しく置き換えることが確認され、設定されたテキストがすべてのシナリオで一貫して返されることが確認されます。

<webContainer displaycustomizedexceptiontext="Custom error message"/>

このリリースでのセキュリティ脆弱性 (CVE) 修正

CVE CVSS スコア 脆弱性内容 影響を受けるバージョン 備考

CVE-2025-14915

6.5

権限昇格

17.0.0.3-26.0.0.3

restConnector-2.0 機能に影響

CVE-2025-14917

6.7

セキュリティの弱体化

17.0.0.3-26.0.0.3

appSecurity-1.0、appSecurity-2.0、appSecurity-3.0、appSecurity-4.0、appSecurity-5.0 機能に影響

CVE-2026-1561

5.4

サーバーサイドリクエストフォージェリ (SSRF)

17.0.0.3-26.0.0.3

samlWeb-2.0 機能に影響

CVE-2026-29063

8.7

プロトタイプ汚染

17.0.0.3-26.0.0.3

openapi-3.1、mpOpenAPI-1.0、mpOpenAPI-1.1、mpOpenAPI-2.0、mpOpenAPI-3.0、mpOpenAPI-3.1、mpOpenAPI-4.0、mpOpenAPI-4.1 機能に影響

過去の脆弱性修正の一覧については、Open Liberty の セキュリティ脆弱性 (CVE) のリストを参照してください。

Open Liberty 26.0.0.4 を今すぐ入手

このバージョンはMaven、Gradle、Docker、またはアーカイブからダウンロード可能です。

]]>Navaneeth S Nair26.0.0.3 における UserRegistry 属性リーダーの機能強化と Jandex インデックス形式サポートの更新2026-03-24T00:00:00+00:002026-03-24T00:00:00+00:00https://openliberty.io/ja/blog/2026/03/24/26.0.0.3

このリリースでは、LDAP およびカスタム・レジストリからユーザー属性を取得するための UserRegistry 属性リーダー API が導入され、Jandex インデックス形式 11-13 のサポートが追加されてアプリケーションの起動パフォーマンスが向上しました。

Open Liberty 26.0.0.3 では:

26.0.0.3 で修正されたバグのリストをご覧ください。

以前の Open Liberty GA リリースのブログ投稿 もチェックしてください。

26.0.0.3 を使用してアプリを開発および実行する

Maven を使用している場合は、pom.xml ファイルに以下を含めます:

<plugin>
    <groupId>io.openliberty.tools</groupId>
    <artifactId>liberty-maven-plugin</artifactId>
    <version>3.12.0</version>
</plugin>

Gradle の場合は、build.gradle ファイルに以下を含めます:

buildscript {
    repositories {
        mavenCentral()
    }
    dependencies {
        classpath 'io.openliberty.tools:liberty-gradle-plugin:4.0.0'
    }
}
apply plugin: 'liberty'

コンテナ・イメージ を使用している場合は:

FROM icr.io/appcafe/open-liberty

または、ダウンロード・ページ をご覧ください。

IntelliJ IDEAVisual Studio Code、または Eclipse IDE を使用している場合は、オープンソースの Liberty 開発者ツール を活用して、IDE 内から効果的な開発、テスト、デバッグ、およびアプリケーション管理を行うこともできます。

Stack Overflow で質問する

UserRegistry 属性リーダーの機能強化

UserRegistry API は、LDAP およびカスタム・ユーザー・レジストリから直接、特定のユーザー属性を取得し、属性値に基づいてユーザーを検索する機能をアプリケーションに提供します。

新機能

以前は、UserRegistry API は userSecurityName による検索やワイルドカード・パターン・マッチングを使用した基本的なユーザー検索のみをサポートしていました。しかし、特定のユーザー属性を取得したり、属性値に基づいてユーザーを検索したりすることはできませんでした。これらの機能は、VMM API を通じて従来の WebSphere で利用可能でした。これら 2 つの新しい API の導入により、アプリケーションは LDAP およびカスタム・ユーザー・レジストリからユーザーを検索し、属性を取得できるようになりました。

この機能強化により、getAttributesForUser() メソッドを使用してユーザーの特定の属性を取得できるようになりました。このメソッドは、email や phoneNumber などの個別の属性の取得、または "*" を使用してユーザーの利用可能なすべての属性の取得をサポートします。

また、getUsersByAttribute() メソッドを使用して属性値に基づいてユーザーを検索することもでき、アプリケーションは特定の属性条件に一致するユーザーを見つけることができます。これらのメソッドは LDAP ユーザー・レジストリでサポートされています。カスタム・ユーザー・レジストリの実装でも、これらのメソッドを実装してサポートすることができます。

使用方法

UserRegistry.java に追加された新しい API メソッド:

  1. default Map<String, Object> getAttributesForUser(String userSecurityName, Set<String> attributeNames)

    説明: LDAP ユーザー・レジストリで構成されている、指定された userSecurityNameattributesNames とそれに対応する値を含む Map<String, Object> を返します。

    UserRegistry ur = RegistryHelper.getUserRegistry("realmName");

// 有効な ldap 属性名
Set<String> attributeNames = Set.of("telephoneNumber", "uid", "mail");  // またはすべての属性を取得するには "*"
Map<String, Object> result = ur.getAttributesForUser("testuser", attributeNames);

// trace.log の出力
> getAttributesForUser Entry
  testuser
  [telephoneNumber, uid, mail]

< getAttributesForUser Exit
  {uid=testuser, mail=testuser@example.com, telephoneNumber=<telephone-number>}

  2. default SearchResult getUsersByAttribute(String attributeName, String value, int limit)

    説明: LDAP ユーザー・レジストリで構成されている、指定された value を持つ attributeName に一致するユーザーのリストを含む SearchResult オブジェクトを返します。

    UserRegistry ur = RegistryHelper.getUserRegistry("realmName");

SearchResult searchResult = ur.getUsersByAttribute("email", "testuser@example.com", 1);

// trace.log の出力
> getUsersByAttribute Entry
  email
  testuser@example.com
  1

< getUsersByAttribute Exit
  SearchResult hasMore=false [testuser]

ユーザー・レジストリの詳細については、以下のリソースを参照してください:

Jandex インデックス形式サポートの更新

Open Liberty は最新の Jandex インデックス形式をサポートするようになり、Jandex バージョン 3.1.0 以降で作成された Jandex インデックスを使用できるようになりました。Jandex は、メモリ効率優れた Java アノテーション・インデクサーおよびオフライン・リフレクション・ライブラリで、クラス・メタデータを事前にインデックス化することでアプリケーションの起動パフォーマンスを向上させます。

この機能は、Jakarta EE および MicroProfile アプリケーションを扱うアプリケーション開発者および DevOps エンジニアを対象としています。アプリケーションの起動時間を最適化し、ランタイム・コストを削減するように設計されています。

新機能

この更新により、Open Liberty は Jandex インデックス形式 11、12、および 13 をサポートします。Jandex バージョン 3.1.0 から現在の最新バージョン 3.5.3 までは、これらの形式を使用するインデックスを生成します。

以前まで、Open Liberty は Jandex インデックス形式バージョン 10 までしかサポートしていませんでした。このインデックス形式の制限により、Jandex インデックスでパッケージ化されたアプリケーションは、期待されるパフォーマンス向上を維持しながらバージョン 10 を超えるインデックス形式を使用することができませんでした。これらのパフォーマンス上の利点を維持するために、ビルド・ツールは 3.1.0 より前の Jandex バージョンを使用し続けるか、バージョン 10 までのインデックス形式を使用するインデックスを生成するように Jandex インデックス生成を明示的に構成する必要がありました。

メリット

Jandex インデックス形式のサポート追加には、いくつかのメリットがあります:

  • 互換性の向上: 新しい Jandex バージョンを使用する最新のビルド・ツールおよびフレームワークとシームレスに連携

  • 起動時間の短縮: バージョンの制約なしに Jandex の効率的なアノテーション・インデックス化の恩恵を受け続けることができる

  • メンテナンスの削減: 複数の Jandex バージョンを維持したり、互換性のためにインデックスを再生成したりする必要がない

  • 将来性: Jandex エコシステムの進化に合わせて最新の状態を維持

制限事項

Jandex インデックスを使用する場合は、インデックス・ファイルがアプリケーション・クラスと最新の状態に保たれていることを確認してください。 Jandex インデックスがアプリケーション・クラスと同期していない場合、不正なアノテーション・データが含まれる可能性があり、アプリケーションが正しく機能しなくなる可能性があります。古い Jandex インデックスを確実に検出することはできません。

Open Liberty は、インデックス形式 13 より高いインデックス形式を読み取りません。新しいバージョンの Jandex がより高いインデックス形式バージョンを追加した場合、Open Liberty はより高いインデックス形式バージョンを使用する Jandex インデックスを読み取る前に更新が必要です。

外部ソースから取得される Open Liberty フィーチャー mpGraphQL は、インデックス形式 10 以下の Jandex インデックス形式の読み取りに制限されています。フィーチャー mpGraphQL を使用する場合、Jandex インデックスはインデックス形式 10 を使用して生成する必要があります。この制限は、現在の最新バージョン mpGraphQL-2.0 を含む、mpGraphQL のすべての現行バージョンに適用されます。

制限の緩和

以前は、Jandex の使用が有効になっており、アプリケーションに形式 11 から 13 を使用する Jandex インデックスが含まれている場合、Open Liberty はエラー・メッセージを表示し、それらのインデックスを無視していました。このような場合、アノテーション・スキャンは Liberty の内部アノテーション・スキャン・メカニズムを使用して実行されていました。

Jandex インデックス形式 11 から 13 のサポートが追加されたことで、Open Liberty はこれらの形式で生成されたインデックスを使用するようになりました。これらのインデックスは、アプリケーション・クラスと最新の状態に保つ必要があります。アプリケーションでパッケージ化された Jandex インデックスが現在のアプリケーション・クラスを正確に反映していることを確認してください。

使用方法

新しい Jandex インデックス形式のサポートを有効にするために、server.xml ファイルで構成を変更する必要はありません。Open Liberty は Jandex インデックス形式を自動的に検出し、その形式に適したインデックス・リーダーを選択します。形式 11、12、および 13 を使用するインデックスを読み取り、バージョン 10 までの形式を使用するインデックスも引き続きサポートします。

デフォルトでは、Jandex の使用は無効になっています。Jandex を有効にするには、application 要素または applicationManager 要素のいずれかで useJandex プロパティを true に設定します。

ビルド・プロセスの一部として Jandex インデックスを生成している場合、最新の Jandex Maven プラグインまたは Gradle プラグインのバージョンを使用できるようになりました:

Maven の例:

<plugin>
    <groupId>io.smallrye</groupId>
    <artifactId>jandex-maven-plugin</artifactId>
    <version>3.5.3</version>
    <executions>
        <execution>
            <id>make-index</id>
            <goals>
                <goal>jandex</goal>
            </goals>
        </execution>
    </executions>
</plugin>

Gradle の例:

plugins {
    id 'org.kordamp.gradle.jandex' version '2.3.0'
}

Open Liberty は、サポートされているインデックス形式バージョンに対して、生成された META-INF/jandex.idx ファイルを自動的に検出して認識します。

詳細については、Jandex ドキュメント を参照してください。

このリリースで修正された注目すべきバグ

いくつかのバグを修正しました。以下のセクションでは、このリリースで解決された問題のいくつかについて説明します。興味がある場合は、26.0.0.3 で修正されたバグの完全なリスト をご覧ください。

Open Liberty 26.0.0.3 を今すぐ入手

Maven、Gradle、Docker、およびダウンロード可能なアーカイブ から入手できます。

]]>Navaneeth S Nair26.0.0.2 の Liberty ビルド・プラグインにおける Java Toolchains2026-02-24T00:00:00+00:002026-02-24T00:00:00+00:00https://openliberty.io/ja/blog/2026/02/24/26.0.0.2

このリリースでは Java Toolchains のサポートが導入され、開発者はビルド・ツールの実行に使用する JDK と Liberty サーバーの実行に使用する JDK を分離できるようになりました。

Open Liberty 26.0.0.2 では:

26.0.0.2 で修正されたバグのリストをご覧ください。

以前の Open Liberty GA リリースのブログ投稿 もチェックしてください。

26.0.0.2 を使用してアプリを開発および実行する

Maven を使用している場合は、pom.xml ファイルに以下を含めます:

<plugin>
    <groupId>io.openliberty.tools</groupId>
    <artifactId>liberty-maven-plugin</artifactId>
    <version>3.12.0</version>
</plugin>

Gradle の場合は、build.gradle ファイルに以下を含めます:

buildscript {
    repositories {
        mavenCentral()
    }
    dependencies {
        classpath 'io.openliberty.tools:liberty-gradle-plugin:3.10.0'
    }
}
apply plugin: 'liberty'

コンテナ・イメージ を使用している場合は:

FROM icr.io/appcafe/open-liberty

または、ダウンロード・ページ をご覧ください。

IntelliJ IDEAVisual Studio Code、または Eclipse IDE を使用している場合は、オープンソースの Liberty 開発者ツール を活用して、IDE 内から効果的な開発、テスト、デバッグ、およびアプリケーション管理を行うこともできます。

Stack Overflow で質問する

Liberty ビルド・プラグインにおける Java Toolchains

Liberty ビルド・プラグインの最新リリースでは、Java Toolchains のサポートが追加されました。この機能強化により、開発者はビルド・ツール (Maven または Gradle) の実行に使用する JDK と、Liberty サーバーおよびアプリケーションの実行に使用する JDK を分離できるようになります。これにより、より高い柔軟性と環境の一貫性が提供されます。

Java Toolchains のサポート

Liberty ビルド・プラグインは、標準の Java Toolchain メカニズムをサポートするようになりました。 従来、Liberty プラグインは、Maven または Gradle を実行している JVM と同じ Java バージョンを使用する必要がありました。 これにより、アプリケーションが特定の古い JDK バージョンを必要とする場合、開発者はビルド・プロセスでより新しい JDK バージョンを使用することができませんでした。

Java Toolchains を使用すると、ビルド・ツールを最新の JDK (例: Java 25) で実行できるようになりました。一方で、Liberty サーバー本体や、すべてのサーバー操作は、別途構成した JDK(例: Java 8)で実行できます。

Maven プラグインの統合

Liberty Maven Plugin は、バージョン 3.12.0 以降、Maven Toolchains とシームレスに統合されるようになりました。この機能を使用するには、~/.m2/toolchains.xml ファイルで使用可能な JDK を定義し、pom.xml の Liberty Maven Plugin の <configuration> 内で <jdkToolchain> を構成します。 プラグインは、指定した条件に一致する toolchain を自動的に検出して使用します。 詳細な構成手順とパラメーターについては、Liberty Maven Plugin Toolchain ドキュメント を参照してください。

プラグインは、Maven プロファイルで定義された JDK ベンダーとバージョンの制約を認識し、異なる開発者マシンや CI/CD パイプライン間でサーバー環境の一貫性を確保するのに役立ちます。

Gradle プラグインの統合

Liberty Gradle プラグインは、バージョン 3.10.0 以降、ネイティブの java { toolchain { …​ } } 構成ブロックを認識するようになりました。この構成により、異なるサービスが異なるランタイム要件を持つ可能性があるマルチプロジェクト・ビルド全体で Java バージョンを管理する統一された方法が提供されます。

詳細な構成手順とパラメーターについては、Liberty Gradle Plugin Toolchain ドキュメント を参照してください。

build.gradle で toolchain が構成されている場合、Liberty プラグインはすべてのサーバー関連タスク (例: libertyDev および libertyStart) にその特定の Java ランタイムを使用します。

今すぐ試す

Java Toolchains の使用を開始するには、ビルド・ツールを Liberty Maven または Gradle プラグインの最新バージョンに更新してください。

Maven の場合:

<plugin>
    <groupId>io.openliberty.tools</groupId>
    <artifactId>liberty-maven-plugin</artifactId>
    <version>3.12.0</version>
    <configuration>
        <jdkToolchain>
            <version>11</version>
            <!-- オプション: toolchain を区別する必要がある場合はベンダーを含めます -->
             <!-- <vendor>ibm</vendor> -->
        </jdkToolchain>
    </configuration>
</plugin>

Gradle の場合:

buildscript {
    repositories {
        mavenCentral()
    }
    dependencies {
        classpath 'io.openliberty.tools:liberty-gradle-plugin:3.10.0'
    }
}
apply plugin: 'liberty'


java {
    toolchain {
        languageVersion = JavaLanguageVersion.of(17)
        // オプション: ベンダーを指定
        // vendor = JvmVendorSpec.ADOPTIUM
    }
}

このリリースで修正された注目すべきバグ

バグ修正に時間を費やしました。以下のセクションでは、このリリースで解決された問題について説明します。興味がある場合は、26.0.0.2 で修正されたバグの完全なリスト をご覧ください。

Open Liberty 26.0.0.2 を今すぐ入手

Maven、Gradle、Docker、およびダウンロード可能なアーカイブ から入手できます。

]]>Navaneeth S Nair26.0.0.1 でのログ・スロットリングと注目すべきバグ修正2026-01-27T00:00:00+00:002026-01-27T00:00:00+00:00https://openliberty.io/ja/blog/2026/01/27/26.0.0.1

このリリースでは、Open Liberty にログ・スロットリング機能が導入され、過度に繰り返されるログメッセージを自動的に抑制することで、開発者がノイズを削減し、大量のログをより効果的に管理できるようになりました。

Open Liberty 26.0.0.1 の内容:

ランタイムに追加された新機能に加えて、ガイドの更新 も行いました。

26.0.0.1 で修正されたバグのリストは こちら です。

以前の Open Liberty GA リリースのブログ投稿 もチェックして下さい。

26.0.0.1 でアプリを開発して実行する

もし Maven を使用しているなら、pom.xml に以下を含めます。

<plugin>
    <groupId>io.openliberty.tools</groupId>
    <artifactId>liberty-maven-plugin</artifactId>
    <version>3.11.5</version>
</plugin>

Gradle を使用している場合は、build.gradle ファイルに以下を含めます。

buildscript {
    repositories {
        mavenCentral()
    }
    dependencies {
        classpath 'io.openliberty.tools:liberty-gradle-plugin:3.9.6'
    }
}
apply plugin: 'liberty'

コンテナ・イメージ を使用している場合は、以下のようにします。

FROM icr.io/appcafe/open-liberty

または、ダウンロード・ページ をご覧ください。

IntelliJ IDEAVisual Studio Code、または Eclipse IDE を使用している場合は、オープンソースの Liberty 開発者ツール を利用して、IDE 内から効果的な開発、テスト、デバッグ、アプリケーション管理を行うこともできます。

Stack Overflow で質問する

ログ・スロットリング

Open Liberty のロギング機能にログ・スロットリングが導入されました。これまで開発者には、大量のメッセージを抑制する方法がありませんでした。この新機能は、同じログイベントが短時間に繰り返し発生した場合に、過度なログ出力を防ぐのに役立ちます。

スロットリング機能はデフォルトで有効になっています。有効にすると、Liberty はスライディングウィンドウを使用して各 messageID を追跡します。デフォルトでは、5 分間に 1,000 回を超えて繰り返される messageID は抑制されます。スロットリングが開始されると、スロットリング警告がログに記録されます。

ログ・スロットリングは、throttleType ロギング属性を使用して、メッセージまたは messageID に基づいてメッセージを抑制するように構成できます。スロットリングが開始される前に許可されるメッセージの数は、throttleMaxMessagesPerWindow 属性を使用して構成できます。

ログ・スロットリングは、throttleMaxMessagesPerWindow0 に設定することで無効にできます。

現在、これらの属性は次のように構成できます。

  • server.xml の場合:

    <logging throttleMaxMessagesPerWindow="5000" throttleType="messageID" />

  • bootstrap.properties の場合:

    com.ibm.ws.logging.throttle.max.messages.per.window=5000
com.ibm.ws.logging.throttle.type=messageID

  • server.env の場合:

    WLP_LOGGING_THROTTLE_MAX_MESSAGES_PER_WINDOW=5000
WLP_LOGGING_THROTTLE_TYPE=messageID

message と messageID の違い:

次のログイベントの例を考えてみましょう: TEST0111I: Hello World!

throttleTypemessageID に設定されている場合、スロットリングは messageID の発生回数のみに基づいて適用されます。この例では、TEST0111I がスロットリングに使用されます。

throttleTypemessage に設定されている場合、スロットリングはメッセージ全体に適用されます。メッセージ内容のバリエーションは個別に追跡されます。この例では、TEST0111I: Hello World! がスロットリングに使用されます。

このリリースで修正された注目すべきバグ

バグ修正に時間を費やしました。以下のセクションでは、このリリースで解決された問題の一部について説明します。興味がある場合は、26.0.0.1 で修正されたバグの完全なリスト をご覧ください。

前回のリリース以降の新規および更新されたガイド

Open Liberty の機能が成長し続けるにつれて、それらのトピックに関する 新しいガイドを openliberty.io に 追加し続けており、採用を可能な限り簡単にしています。

Observability カテゴリーの下に 2 つの新しいガイドが公開されました。

Open Liberty 26.0.0.1 を今すぐ入手

Maven、Gradle、Docker、およびダウンロード可能なアーカイブ から入手できます。

]]>Navaneeth S Nair25.0.0.12 で独自の AES-256 キーの持ち込みと、IBM Semeru Runtimes による FIPS 140-3 のサポート2025-12-02T00:00:00+00:002025-12-02T00:00:00+00:00https://openliberty.io/ja/blog/2025/12/02/25.0.0.12

このリリースでは、独自の Base64 エンコードされた AES-256 キーを提供するサポートが導入され、起動時に Liberty がキーを導出する必要がなくなり、より高速で効率的なパスワード暗号化が実現されます。また、サポートされている IBM Semeru Runtime バージョン(11.0.29、17.0.17、21.0.9、25.0.1 以降)で Liberty を実行する際の FIPS 140-3 準拠が追加されます。

In Open Liberty 25.0.0.12:

25.0.0.12 で修正されたバグのリストは こちら です。

以前の Open Liberty GA リリースのブログ投稿 もチェックして下さい。

25.0.0.12 でアプリを開発して実行する

もし Maven を使用しているなら、pom.xml に以下を含めます。

<plugin>
    <groupId>io.openliberty.tools</groupId>
    <artifactId>liberty-maven-plugin</artifactId>
    <version>3.11.5</version>
</plugin>

Gradle を使用している場合は、build.gradle ファイルに以下を含めます。

buildscript {
    repositories {
        mavenCentral()
    }
    dependencies {
        classpath 'io.openliberty.tools:liberty-gradle-plugin:3.9.6'
    }
}
apply plugin: 'liberty'

コンテナ・イメージ を使用する場合は以下です。

FROM icr.io/appcafe/open-liberty

もしくは ダウンロード・ページ をご覧下さい。

IntelliJ IDEAVisual Studio Code または Eclipse IDE を使用している場合、これらの IDE で効率的な開発・テスト・デバッグとアプリケーション管理のすべてを実行するために、オープンソースの Liberty Tools を利用することができます。

Stack Overflow で質問する

独自の AES-256 キーの持ち込み

Liberty では、パスワード暗号化のために Base64 エンコードされた 256 ビット AES キーを提供できるようになりました。

新機能

以前、Liberty は wlp.password.encryption.key プロパティをサポートしており、パスワードを受け取り、計算集約的なプロセスを通じて AES キーを導出していました。この導出には、ソルトを使用した繰り返しハッシュが多数の反復にわたって含まれており、サーバー起動時にオーバーヘッドが追加されていました。

現在では、事前に生成された AES キーを直接提供できるようになりました。これにより導出ステップが不要になり、起動時間が短縮され、パスワードの暗号化と復号化時のランタイム・パフォーマンスが向上します。

有効化の方法

  1. 256 ビット AES キーの取得

    セキュリティ・インフラストラクチャから 256 ビット AES キーを取得するか、securityUtility generateAESKey コマンドを使用して生成できます。

    securityUtility を使用して 256 ビット AES キーを生成するには、新しい securityUtility generateAESKey タスクを実行します:

    • ランダムな AES キーを生成する:

      ./securityUtility generateAESKey

    • オプションで、ランダムな AES キーを XML ファイルに保存する:

        securityUtility generateAESKey --createConfigFile=myAesConfig.xml

    • または、パスフレーズから非ランダムな AES キーを生成する:

      ./securityUtility generateAESKey --key=<password>

    • オプションで、パスフレーズから非ランダムな AES キーを生成し、XML ファイルに保存する:

        securityUtility generateAESKey --key=<password> --createConfigFile=myAesConfig.xml

  2. Liberty でキーを設定する

    server.xml ファイルで AES キーを直接設定するには、以下の変数定義を追加します:

       <variable name="wlp.aes.encryption.key" value="<your_aes_key>" />

    または、外部設定ファイル(generateAESKey --createConfigFile で生成されたファイルなど)から AES キーをロードするには、以下の設定を使用してファイルをインクルードします。

    注意: インクルードされるファイルには、前述のように wlp.aes.encryption.key の変数定義が含まれている必要があります。

        <include location="/path/to/myAesConfig.xml" />

  3. パスワードを暗号化する

    securityUtility encode コマンドを実行して、AES-256 キーを使用するパスワードを暗号化できます:

    • キーを直接提供する:

      securityUtility encode --encoding=aes --base64Key=<your_base64_key> <password>

    • AES キー変数を含む XML または Java プロパティ・ファイルを使用するには、--aesConfigFile オプションを指定します:

      securityUtility encode --encoding=aes --aesConfigFile=<xml_or_properties_file_path> <password>

  4. 設定を更新する

    結果として得られた暗号化された値を Liberty 設定にコピーします。

パフォーマンスのヒント: 最高のパフォーマンスを得るには、新しい AES-256 キーを使用してすべてのパスワードを再暗号化してください。Open Liberty は古いパスワード形式をサポートしていますが、完全な移行により一貫した起動パフォーマンスが提供されます。

AES 暗号化をサポートする Liberty コマンドは、以下のオプションを受け入れます:

  • --base64Key または --passwordBase64Key:Base64 エンコードされた AES-256 キーを直接提供します。

  • --aesConfigFilewlp.aes.encryption.key または wlp.password.encryption.key を定義する設定ファイルを提供します。

その他のコマンドライン・タスクも、同様の方法で Base64 キーと AES 設定ファイルを受け入れるように更新されています:

  1. securityUtility

    • createSSLCertificate

    • createLTPAKeys

    • encode

  2. configUtility

    • install

  3. collective

    • create

    • join

    • replicate

IBM Semeru Runtimes による FIPS 140-3 のサポート

FIPS 140-3 は FIPS 140 標準の最新バージョンであり、暗号化モジュールのセキュリティと整合性を確保するための一連のガイドラインを提供します。FIPS 140-3 のサポートは、バージョン 25.0.0.3 で IBM JDK 8 を使用した Liberty で初めて導入されました。このリリースでは、Open Liberty は IBM Semeru Runtimes バージョン 11.0.29、17.0.17、21.0.9、25.0.1 以降を使用する際に FIPS 140-3 標準をサポートします。

FIPS 140-3 の有効化

securityUtility には、FIPS 140-3 を有効にするための configureFIPS という新しいタスクがあります。この新しいタスクは、IBM Semeru Runtimes と IBM SDK 8 の両方に適用されます。

configureFIPS タスクは 3 つのレベルで動作します:

  1. Install

  2. Server

  3. Client

すべてのサーバー、クライアント、およびツール全体で有効にするには、以下を実行して Install レベルで FIPS 140-3 を有効にできます:

securityUtility configureFIPS

特定のサーバーを有効化または設定するには、以下を実行します:

securityUtility configureFIPS --server=<server name>

特定のクライアントを有効化または設定するには、以下を実行します:

securityUtility configureFIPS --client=<client name>

IBM Semeru Runtimes の場合、これらのコマンドは FIPS 有効化要件を設定し、アプリケーションの必要な制約を設定するために編集できる Java セキュリティ・プロパティ・ファイルを作成します。 制約の設定の詳細については、プロファイルの拡張の作成 に関するドキュメントを参照してください。

特定の場所または特定の名前でプロファイルを作成するには、--customProfileFile=<file path (or paths) separated by the OS-specific path separator> 引数を指定でき、編集可能なファイルが作成されます。ファイルの名前がプロファイルの名前として使用されます。設定は、提供されたファイルを指すように設定されます。 プロパティには複数のファイルを指定できます。すべてのファイルが作成され、前のファイルを拡張し、指定された最後のファイルがチェーンの最後になります。

securityUtility configureFIPS コマンドの一部として --customProfileFile を指定しない場合、ファイルは以下の場所に作成されます。場所は、サーバーまたはクライアントを指定したかどうかによって異なります。

  • サーバーもクライアントも指定されていない場合 <Liberty install location>/wlp/etc/FIPS140-3-Liberty-Application.properties

  • サーバーが指定されている場合 <server root>/resources/security/FIPS140-3-Liberty-Application.properties

  • クライアントが指定されている場合 <client root>/resources/security/FIPS140-3-Liberty-Application.properties

有効化されている必要なレベルで FIPS 140-3 を無効にするには、コマンドに以下のオプションを追加します。

--disable

LTPA

FIPS 140-3 が有効になっている場合、サーバーは FIPS 140-3 承認の暗号化アルゴリズムを使用して生成された LTPA キーのみをロードできます。LTPA シングル・サインオン(SSO)を機能させるには、ユーザーはすべてのサーバーで FIPS 140-3 を使用するように設定する必要があります。設定の詳細については、ドキュメント を参照してください。

FIPS 140-3 が有効化された後にサーバーが再起動されると、FIPS 承認アルゴリズムで生成された新しい ltpa.keys ファイルが自動的に作成されます。FIPS 140-3 が有効化される前に作成された既存の ltpa.keys ファイルは、ltpa.keys.nofips にバックアップされます。 お客様は、FIPS 140-3 が有効化される前に作成された検証キー・ファイルを再作成するために、securityUtility createLTPAKeys コマンドを使用する必要があります。

securityUtility を使用した新しい FIPS 承認 LTPA キーの作成:

securityUtility コマンドの createLTPAKeys オプションを使用して LTPA キーを作成することもできます。FIPS 140-3 承認アルゴリズムで LTPA キーを生成するには、インストール・レベルで FIPS 140-3 を設定します。

securityUtility createLTPAKeys --password=mypassword --passwordEncoding=aes

SAML

Liberty SAML Web Browser SSO 暗号化は、IBM Semeru FIPS 140-3 認定の ECDH-ES キー交換をサポートするようになりました。 Liberty は、SHA256SHA384SHA512、および ECDSAwithSHA256ECDSAwith384ECDSAwith512 を含む、SAML のより強力な署名アルゴリズムをサポートするようになりました。

FIPS 140-3 モードが有効な場合にサポートされる署名メソッド・アルゴリズム・オプション

サポート対象:

  • SHA256

  • SHA384(25.0.0.12 以降)

  • SHA512(25.0.0.12 以降)

  • ECDSAwithSHA256(25.0.0.12 以降)

  • ECDSAwithSHA384(25.0.0.12 以降)

  • ECDSAwithSHA512(25.0.0.12 以降)

サポート対象外:

  • SHA1

使用例

<samlWebSso20 id="defaultSP" signatureMethodAlgorithm="SHA256" />

FIPS 140-3 モードが有効な場合にサポートされる暗号化アルゴリズム

サポート対象:

  • ECDH-ES

サポート対象外:

  • SAML 暗号化が有効な場合の RSA-OAEP 暗号化キー転送。

注意: IBM Semeru ランタイムで使用されている FIPS モジュールは、将来のリリースで RSA-OAEP 操作を認定する予定です。

wsSecurity-1.1

wsSecurity-1.1 フィーチャーは、ECDH-ES アルゴリズムを活用して、署名と暗号化のための楕円曲線キーの使用をサポートするようになりました。

アプリケーションの制約の定義

FIPS 140-3 が設定されている場合、Semeru ランタイムは、FIPS140-3-Strongly-Enforced 制限付きセキュリティ・モード・プロファイル が有効になっているときに、サーバー全体で FIPS 140-3 承認アルゴリズムの使用を強制します。Semeru FIPS 140-3 の暗号化アルゴリズムの強制は、アルゴリズムの使用を区別しません。たとえば、メッセージ・ダイジェスト・ハッシュ(通常は 2 つの値を比較するために使用される)での SHA1 の使用は FIPS 140-3 仕様で許可されていますが、SHA1 の使用に区別がないため、Semeru FIPS 140-3 は依然として例外をスローします。例外が発生した場合は常に、原因を調査し、必要に応じてアルゴリズムを更新してください(この場合、たとえば SHA-256 または SHA-512 に)。問題が暗号化に関連しておらず、その使用が FIPS 140-3 仕様で許可されている場合は、許可された制約としてカスタム・プロファイルの例外リストに追加してください。

IBM Semeru は、プロファイルを使用して制約を適用し、Java セキュリティ・プロバイダーとアルゴリズムへのアクセスを許可して、FIPS 140-3 準拠を確保します。Strongly-enforced または Strict プロファイルがベースとして使用される場合、SHA-1 などのアルゴリズムは、制約が追加されて許可されるまで、どのアプリケーション・クラスでも使用できません。

SHA-1 などの非 FIPS 140-3 メッセージ・ダイジェストを使用している場合、次のような例外が表示される場合があります:

java.security.NoSuchAlgorithmException: SHA1 MessageDigest not available
        at java.base/sun.security.jca.GetInstance.getInstance(GetInstance.java:159)
        at java.base/java.security.MessageDigest.getInstance(MessageDigest.java:185)
  at io.openliberty.fips.test.application.ObjectComparator.compareObjects(ObjectComparator.java:463)

アプリケーションがオブジェクトを比較しているため、SHA-1 を使用できます。

FIPS を有効にする一環として作成されたプロパティ・ファイルで、アルゴリズムを提供するプロバイダーの下に制約を追加できます。

RestrictedSecurity.OpenJCEPlusFIPS.FIPS140-3-Liberty-Application.jce.provider.1 = com.ibm.crypto.plus.provider.OpenJCEPlusFIPS [+ \
    {MessageDigest, SHA-1, *, FullClassName:io.openliberty.fips.test.application.ObjectComparator}]

注意: 例外では SHA1 が欠落していると述べられていますが、アルゴリズムの名前は SHA-1 であり、SHA1 はそのエイリアスです。

アプリケーションに Java セキュリティ・プロバイダーが含まれている場合、または FIPS140-3-Liberty または FIPS140-3-Strongly-Enforced プロファイルにまだ登録されていない新しいプロバイダーを追加する必要がある場合は、FIPS セキュリティ・プロパティ・ファイルにも含める必要があります。

次のようにプロバイダーを追加できます:

RestrictedSecurity.OpenJCEPlusFIPS.FIPS140-3-Liberty-Application.jce.provider.51 = io.openliberty.fips.test.custom.SecurityProvider

プロバイダーの定義内に制約を指定しない場合、そのプロバイダーが提供するすべてのアルゴリズムがランタイム内のすべてのクラスで使用可能になります。さらに、追加する新しいプロバイダーは、プロバイダー位置 51 から配置する必要があります。

FIPS 140-3 サポート および SAML Web Browser SSO の詳細については、ドキュメントを参照してください。

また、いくつかの異なるシナリオで追加する必要がある制約の例については、トラブルシューティング セクションを参照してください。

このリリースでのセキュリティ脆弱性(CVE)の修正

CVE CVSS スコア 脆弱性評価 影響を受けるバージョン 備考

CVE-2025-7962

7.5

SMTP インジェクション

17.0.0.3-25.0.0.11

javaMail-1.5javaMail-1.6mail-2.0mail-2.1 フィーチャーに影響

過去のセキュリティ脆弱性修正のリストについては、セキュリティ脆弱性(CVE)リスト を参照してください。

今すぐ Open Liberty 25.0.0.12 を入手する

Maven, Gradle, Docker, そしてダウンロード可能なアーカイブ から可能です。

]]>Navaneeth S Nair25.0.0.11 における注目すべきバグ修正2025-11-04T00:00:00+00:002025-11-04T00:00:00+00:00https://openliberty.io/ja/blog/2025/11/04/25.0.0.11

この GA リリースには、安定性を向上させ、パフォーマンスを改善し、よりスムーズなユーザー・エクスペリエンスを提供する重要なバグ修正が含まれています。

以前の Open Liberty GA リリースのブログ投稿 もチェックして下さい。

25.0.0.11 でアプリを開発して実行する

もし Maven を使用しているなら、pom.xml に以下を含めます。

<plugin>
    <groupId>io.openliberty.tools</groupId>
    <artifactId>liberty-maven-plugin</artifactId>
    <version>3.11.5</version>
</plugin>

Gradle を使用している場合は、build.gradle ファイルに以下を含めます。

buildscript {
    repositories {
        mavenCentral()
    }
    dependencies {
        classpath 'io.openliberty.tools:liberty-gradle-plugin:3.9.5'
    }
}
apply plugin: 'liberty'

コンテナ・イメージ を使用する場合は以下です。

FROM icr.io/appcafe/open-liberty

もしくは ダウンロード・ページ をご覧下さい。

IntelliJ IDEAVisual Studio Code または Eclipse IDE を使用している場合、これらの IDE で効率的な開発・テスト・デバッグとアプリケーション管理のすべてを実行するために、オープンソースの Liberty Tools を利用することができます。

Stack Overflow で質問する

このリリースで修正された注目すべきバグ

このリリースでは、いくつかのバグが修正されました。以下のセクションでは、解決された主要な問題のいくつかを紹介します。修正の完全なリストについては、25.0.0.11 で修正されたバグの完全なリスト をご覧ください。

  • JSON レコードが改行で終わる場合に appsWriteJSON が正しく動作しない

    Logback ロギング・フレームワークを使用し、ロガーがメッセージを JSON 形式に変換するエンコーダー(例:co.elastic.logging.logback.EcsEncoder)を使用して STDOUT にロギング・イベントをルーティングするように設定されている場合、メッセージ全体は 改行 で終わります。

    appsWriteJson 設定が true に設定されている OpenLiberty サーバーと組み合わせた場合、期待される動作は、Logback から出力される JSON が、通常の Open Liberty JSON ログ出力の message 値内にラップされないことです。しかし、実際にはラップされてしまいます。

  • マルチパート・データの非同期呼び出しにおける例外を修正

    MicroProfileRestClient の非同期で multipart/form-data を送信すると、以下の例外が発生します。

    java.util.concurrent.CompletionException: jakarta.ws.rs.ProcessingException: RESTEASY004655: Unable to invoke request: jakarta.ws.rs.WebApplicationException: Unexpected entity instance: org.jboss.resteasy.plugins.providers.multipart.ResteasyEntityPartBuilder$EntityPartImpl

  • AutoDecompress が正しく動作しない

    圧縮されたボディを持つ POST リクエストで、以下の例外が発生します。

    SRVE0216E: post body contains less bytes than specified by content-length

  • 設計上の問題:英数字以外の文字を含むサーバー名での server create の動作が一貫していない

    ./server create …​ を使用してサーバーを作成する際、サーバー名に英数字以外の文字(ドキュメントで指定されていない文字)が含まれている場合、動作が一貫していません。

    例えば:

    ./server create 'this£server'

    は以下を返します:

    CWWKE0005E: The runtime environment could not be launched.
CWWKE0012E: The specified server name contains a character that is not valid (name=this£server). Valid characters are: Unicode alphanumeric (e.g. 0-9, a-z, A-Z), underscore (_), dash (-), plus (+), and period (.). A server name cannot begin with a dash (-) or period (.).

    しかし

    ./server create 'this$server'

    は以下を返します:

    Server this created.

    また、サーバー名に空白が含まれている場合、サーバー名が引用符で囲まれているかどうかに関わらず、最初の空白の前のテキストを使用してサーバーが作成されます。例えば:

    ./server create 'this server'

    は以下を返します:

    CWWKE0027W: Only one server may be specified on the command line; subsequent names will be ignored (server=this, ignored=server).
Server this created.

  • カスタム Subject がキャッシュにない場合の継続的な認証をサポート

    シングル・サインオン(SSO)環境では、ユーザーは特定の管理タスクを実行するために、アプリケーション内で一時的に権限を管理者レベルに昇格させる必要がある場合があります。しかし、AuthenticationException によってこのシナリオが正常に機能しません。

    この問題は、LTPA(Lightweight Third-Party Authentication)トークンが有効であるにもかかわらず発生します - トークンは正常に復号化および解析でき、有効期限と署名の両方が適切に検証されます。

    認証の失敗は、WebSphere Liberty サーバーが認証キャッシュ内で昇格されたユーザーの Subject を見つけることができないために発生し、権限昇格プロセス中に認証が失敗します。

    この制限により、同じ SSO セッション内で一時的な権限昇格が必要なシナリオでの正当な管理操作が妨げられます。

今すぐ Open Liberty 25.0.0.11 を入手する

Maven, Gradle, Docker, そしてダウンロード可能なアーカイブ から可能です。

]]>Navaneeth S Nair25.0.0.10におけるアプリケーションクラスローダーでのオーバーライドライブラリのサポートとJava 25のサポート2025-10-07T00:00:00+00:002025-10-07T00:00:00+00:00https://openliberty.io/ja/blog/2025/10/07/25.0.0.10

このリリースでは、アプリケーションを再ビルドせずに修正できるアプリケーションクラスローダーでのオーバーライドライブラリのサポートが導入されています。また、最新の長期サポート(LTS)リリースであるJava 25との互換性も追加されています。

Open Liberty 25.0.0.10では:

25.0.0.10 で修正されたバグのリストをご覧ください。

以前のOpen Liberty GAリリースのブログ記事 をチェックしてください。

25.0.0.10を使用したアプリケーションの開発と実行

Maven を使用している場合は、 pom.xml ファイルに以下を含めてください:

<plugin>
    <groupId>io.openliberty.tools</groupId>
    <artifactId>liberty-maven-plugin</artifactId>
    <version>3.11.5</version>
</plugin>

または、Gradle の場合は、 build.gradle ファイルに以下を含めてください:

buildscript {
    repositories {
        mavenCentral()
    }
    dependencies {
        classpath 'io.openliberty.tools:liberty-gradle-plugin:3.9.5'
    }
}
apply plugin: 'liberty'

または、コンテナイメージ を使用している場合:

FROM icr.io/appcafe/open-liberty

または、ダウンロードページ をご覧ください。

IntelliJ IDEAVisual Studio Code、または Eclipse IDE を使用している場合は、オープンソースの Liberty開発ツール を活用して、IDE内での効果的な開発、テスト、デバッグ、アプリケーション管理を行うことができます。

Open Libertyについて質問する

アプリケーションクラスローダーでのオーバーライドライブラリのサポート

このGAリリースでは、オーバーライドライブラリ参照を設定するために使用できるアプリケーションの <classloader/> を設定するための新しいタイプのライブラリ参照が導入されています。オーバーライドライブラリ参照は、クラスインスタンスがアプリケーションのクラスローダーに固有のままであるため、プライベートライブラリ参照に似ています。主な違いは検索順序です。オーバーライドライブラリ参照では、ライブラリクラスパスはアプリケーション自身のクラスパスの前に検索されます。したがって、オーバーライドライブラリを使用すると、ライブラリパスがアプリケーションに既に含まれているクラスをオーバーライドできます。

例えば、 <webApplication/>org.acme.needs.fix.SomeImpl のような修正が必要なクラスが含まれているとします。アプリケーションを再ビルドして修正を含めることが難しい、または望ましくない場合は、修正されたクラスファイルを含む新しいライブラリJAR(例: someImplFix.jar )をビルドします。以下の server.xml 設定は、アプリケーションを再ビルドせずに修正を適用するために overrideLibraryRef を使用する方法を示しています:

<webApplication location="appThatNeedsFix.war">
    <classloader overrideLibraryRef="someImplFix"/>
</webApplication>

<library id="someImplFix">
     <path name="someImplFix.jar"/>
</library>

Java 25のサポート

Java 25は、最新の長期サポート(LTS)リリースであり、以前のバージョンのJavaと比較して多くの新機能と拡張機能が含まれています。 Java 25 には18の新機能(JEP)があります:6つはテスト機能で、12は完全に提供されています。

テスト機能

提供済み機能

Java 25で明示的なExecutorバッキングなしで CompletableFuture および SubmissionPublisher クラスを使用する場合、デフォルトでは ForkJoinPool.commonPool を使用します。このプールは、並列処理の値を利用可能なプロセッサ数から1を引いた値(利用可能なプロセッサ数 - 1)に設定します。2つ以下のプロセッサを持つシステムで実行されるアプリケーションは、Java 25がデフォルトで単一のスレッドのみを使用するため、並行処理の問題が発生する可能性があります。以前のJavaバージョンでは、 ForkJoinPool 共通プールの並列処理値が2未満の場合、JDKは各非同期タスクに対して新しいスレッドを作成していたため、これは問題ではありませんでした。

以下のアプローチのいずれかを使用して、この問題を回避できます:

  1. この制限のないLibertyのJakarta Concurrency実装で提供される CompletableFuture クラスを使用します。 CompletableFuture クラスを DefaultManagedExecutorService インスタンスと、supplyAsync メソッドまたは runAsync メソッドのいずれかと一緒に使用できます。

  2. システムプロパティ -Djava.util.concurrent.ForkJoinPool.common.parallelism=N (Nは必要な最小スレッド数)を使用して、 ForkJoinPool.commonPool の並列処理値を明示的に設定します。

  3. 明示的なバッキング Executor を使用します。

この変更の詳細については、以下のリンクを参照してください:

Open LibertyでJava 25の変更を今すぐ活用し、お気に入りのサーバーランタイムでアプリケーション、マイクロサービス、ランタイム環境をレビューする時間を増やしましょう!

Java 25の最新リリースをダウンロード し、25.0.0.10 バージョンのOpen Libertyをダウンロードしてインストールし、LibertyサーバーのJAVA_HOMEをJava 25インストールディレクトリに設定した server.env ファイルを編集してテストを開始しましょう!

Java 25の詳細については、Java 25の リリースノートページAPI Javadocページ 、または ダウンロードページ をご覧ください。 Open Libertyの詳細については、ドキュメントページ をご覧ください。

このリリースでのセキュリティ脆弱性(CVE)の修正

CVE CVSSスコア 脆弱性評価 影響を受けるバージョン 注記

CVE-2020-36732

5.3

セキュリティの弱体化

17.0.0.3-25.0.0.9

openidConnectServer-1.0 機能に影響します

過去のセキュリティ脆弱性修正のリストについては、セキュリティ脆弱性(CVE)リスト を参照してください。

Open Liberty 25.0.0.10を今すぐ入手

Maven、Gradle、Docker、およびダウンロード可能なアーカイブ を通じて利用可能です。

]]>Navaneeth S NairECDH-ES サポートを 25.0.0.9 の JWT Builder に追加2025-09-09T00:00:00+00:002025-09-09T00:00:00+00:00https://openliberty.io/ja/blog/2025/09/09/25.0.0.9

本リリースでは、JWT Builderに鍵管理アルゴリズムとしてECDH-ESのサポートが導入され、RSA-OAEPに代わるより安全な選択肢を提供します。

In Open Liberty 25.0.0.9:

修正されたバグの一覧は、25.0.0.9のリリースノートで確認できます。

その他の情報は、過去のOpen Liberty GAリリースブログ記事をチェックしてください。

25.0.0.9 を使いアプリを開発・実行するには

Maven を使っている場合は、pom.xml に以下を含めてください:

<plugin>
    <groupId>io.openliberty.tools</groupId>
    <artifactId>liberty-maven-plugin</artifactId>
    <version>3.11.5</version>
</plugin>

Gradle を使っている場合は、build.gradleに以下のように含めてください:

buildscript {
    repositories {
        mavenCentral()
    }
    dependencies {
        classpath 'io.openliberty.tools:liberty-gradle-plugin:3.9.5'
    }
}
apply plugin: 'liberty'
さらに、link:{url-prefix}/docs/latest/container-images.html[コンテナイメージ]を使う場合はこちら:
FROM icr.io/appcafe/open-liberty

あるいは、ダウンロードページをご覧ください。

IntelliJ IDEAVisual Studio CodeEclipse IDEに対しても、に対しても、Open Liberty の開発者ツールを使って IDE内からの開発・テスト・デバッグ・アプリ管理が可能です。

Stack Overflowで質問する

JWT Builder に ECDH-ES サポートを追加する

Open Liberty は JSON Web Token 1.0 (jwt-1.0) 機能を拡張し、jwtBuilder の鍵管理アルゴリズムとして ECDH-ES をサポートするようになりました。これにより、アプリ開発者は JSON Web Encryption (JWE) トークンの Content Encryption Key (CEK) を決定する際に、楕円曲線暗号を使えるようになります。これまでサポートされていた RSA-OAEP に比べ、よりモダンな代替手段を提供します。

ECDH-ES を使うには、keyManagementKeyAlias 属性で楕円曲線 (EC) 公開鍵のエイリアスを定義しておく必要があります。EC 公開鍵/秘密鍵ペアは securityUtility や keytool を使って作成できます。例えば次のコマンド:

./securityUtility createSSLCertificate --sigAlg=SHA256withECDSA --keySize=256 --server=myServer --validity=3650 --password=password
keytool -genkeypair -alias eccert -keyalg EC -groupname secp256r1 -validity 3650 -storetype pkcs12 -keystore myKeystore.p12 -storepass password

jwtBuilder 要素の keyManagementKeyAlgorithm 属性に ECDH-ES を指定して設定できます(この属性は JSON Web Token 1.0 (jwt-1.0) 機能の一部です)。 ECDH-ES 鍵管理アルゴリズムで使われる EC(楕円曲線)公開鍵は、keyManagementKeyAlias 属性でそのエイリアスを参照し、trustStoreRef 属性でキーストアを指定します。

jwtBuilder 要素の設定例(server.xml 内):

<jwtBuilder
    keyManagementKeyAlgorithm="ECDH-ES"
    keyManagementKeyAlias="myECPublicKey"
    trustStoreRef="myTrustStore" ... />

jwtBuilderの設定方法の詳細は、Open Libertyのドキュメントを参照してください。

このリリースでのセキュリティ脆弱性 (CVE) 修正

CVE CVSS スコア 脆弱性内容 影響を受けるバージョン 備考

CVE-2025-36000

4.4

ストアド型クロスサイトスクリプティング (Stored XSS)

17.0.0.3-25.0.0.8

adminCenter-1.0 機能に影響

CVE-2025-36047

5.3

DoS(サービス拒否)

18.0.0.2-25.0.0.8

servlet-3.1, servlet-4.0, servlet-5.0, servlet-6.0 機能に影響

CVE-2025-48976

7.5

DoS(サービス拒否)

17.0.0.3-25.0.0.8

上記と同じ

CVE-2025-36124

5.9

セキュリティのバイパス

17.0.0.3-25.0.0.8

wasJmsServer‐1.0, wasJmsSecurity‐1.0, wasJmsClient‐2.0, messagingServer‐3.0, messagingSecurity‐3.0, messagingClient‐3.0 機能に関連

過去の脆弱性修正の一覧については、Open Liberty の セキュリティ脆弱性(CVE)のリストを参照してください。

Open Liberty 25.0.0.9を今すぐ入手

このバージョンはMaven, Gradle, Docker、またはアーカイブからダウンロード可能です。

]]>Ismath BadshaMicroProfile 7.1および25.0.0.8におけるコンポーネント仕様のアップデート2025-08-12T00:00:00+00:002025-08-12T00:00:00+00:00https://openliberty.io/ja/blog/2025/08/12/25.0.0.8

このリリースではMicroProfile 7.1のサポートが導入され、2つのコンポーネント仕様がアップデートされました:MicroProfile TelemetryとMicroProfile OpenAPI。

Open Liberty 25.0.0.8では:

25.0.0.8で修正されたバグのリストをご覧ください。

以前のOpen Liberty GAリリースのブログ投稿をチェックしてください。

25.0.0.8を使用してアプリケーションを開発・実行する

Mavenを使用している場合は、 pom.xml ファイルに以下を含めてください:

<plugin>
    <groupId>io.openliberty.tools</groupId>
    <artifactId>liberty-maven-plugin</artifactId>
    <version>3.11.4</version>
</plugin>

または、Gradleの場合は、 build.gradle ファイルに以下を含めてください:

buildscript {
    repositories {
        mavenCentral()
    }
    dependencies {
        classpath 'io.openliberty.tools:liberty-gradle-plugin:3.9.4'
    }
}
apply plugin: 'liberty'

または、コンテナイメージを使用する場合:

FROM icr.io/appcafe/open-liberty

または、ダウンロードページをご覧ください。

IntelliJ IDEAVisual Studio Codeまたは Eclipse IDEを使用している場合は、オープンソースの Liberty開発ツールを活用して、IDE内から効果的な開発、テスト、デバッグ、アプリケーション管理を行うことができます。

Ask a question on Stack Overflow

MicroProfile 7.1

MicroProfile 7.1( MP 7.1 )はマイナーリリースであり、以下のMicroProfileコンポーネント仕様を含み、Jakarta EE 10 Core Profileと連携します:

このリリースでは、MicroProfile Telemetry 2.1とMicroProfile OpenAPI 4.1がアップデートされ、他の5つの仕様は変更されていません。

MicroProfile 7.1を有効にするには、 server.xml に以下の機能を追加してください:

<featureManager>
    <feature>microProfile-7.1</feature>
</featureManager>

MicroProfile Telemetry 2.1

MicroProfile Telemetry 2.1( mpTelemetry-2.1 )は、開発者に更新されたOpen Telemetry技術を提供します。この機能は現在OpenTelemetry v1.48.0を使用しており、v1.39.0からアップデートされています。以前は実験的だったAPIが現在は安定版になっています。

<featureManager>
   <feature>mpTelemetry-2.1</feature>
</featureManager>

OpenTelemetry APIを使用するために、 server.xmlclassloader 要素に apiTypeVisibility="+third-party" 属性を追加する必要がなくなりました。これにより、OpenTelemetry APIを使用するアプリケーションをdroppinsディレクトリにドロップするだけでデプロイすることが可能になりました。

MicroProfile Telemetryの詳細については、以下のリンクを参照してください:

MicroProfile OpenAPI 4.1

OpenAPIはREST APIをJSONまたはYAML形式で文書化する標準化された方法です。MicroProfile OpenAPIは、JAX-RSまたはJakarta restfulWSを使用して構築されたRESTアプリケーションのOpenAPIドキュメントを生成・提供するのに役立ちます。これは開発中にAPIをテストしたり、本番環境でAPIを使用する人々にとって有用です。

新しいMicroProfile OpenAPI 4.1( mpOpenAPI-4.1 )機能を使用するには、まず server.xml に機能を追加します:

<featureManager>
    <feature>mpOpenAPI-4.1</feature>
</featureManager>

次に、任意のRESTアプリケーションをデプロイします。その後、Webブラウザで、LibertyサーバーのYAML OpenAPIドキュメントを表示するには /openapi にアクセスするか、ドキュメントを閲覧するためのユーザーインターフェースには /openapi/ui にアクセスします。ドキュメントを強化するには、コード内でアノテーションを使用して、各メソッドにテキスト説明などの追加情報を加えることができます。アノテーションはmavenの依存関係として利用可能です:

<dependency>
    <groupId>org.eclipse.microprofile.openapi</groupId>
    <artifactId>microprofile-openapi-api</artifactId>
    <version>4.1</version>
    <scope>provided</scope>
</dependency>

MicroProfile OpenAPI 4.1は小規模なリリースであり、以下の機能が追加されています:

MicroProfile OpenAPIの詳細については、以下を参照してください:

このリリースのセキュリティ脆弱性(CVE)修正

CVE CVSSスコア 脆弱性評価 影響を受けるバージョン 注記

CVE-2024-56339

3.7

セキュリティバイパス

17.0.0.3 - 25.0.0.7

servlet-3.1servlet-4.0servlet-5.0 および servlet-6.0 機能に影響します

CVE-2025-36097

7.5

サービス拒否

17.0.0.3 - 25.0.0.7

jsonp-1.0jsonp-1.1 および jsonp-2.0 機能に影響します

過去のセキュリティ脆弱性修正のリストについては、セキュリティ脆弱性(CVE)リストを参照してください。

Open Liberty 25.0.0.8を今すぐ入手

Maven、Gradle、Docker、およびダウンロード可能なアーカイブから入手できます。

]]>Navaneeth S Nair25.0.0.7におけるログ設定のmaxFilesパラメータの適用範囲の拡張2025-07-15T00:00:00+00:002025-07-15T00:00:00+00:00https://openliberty.io/ja/blog/2025/07/15/25.0.0.7

25.0.0.7におけるリリースでは、Open Libertyのアクセスログ設定におけるmaxFilesパラメータが強化されました。この変更により、ログファイルのクリーンアップが改善され、出力ディレクトリ内のすべての該当するログファイルが、現在のプロセスによって生成されたものだけでなく、考慮されるようになりました。

25.0.0.7で修正されたバグの一覧をご確認ください。

過去のOpen Liberty GAリリースのブログ投稿をご覧ください。

25.0.0.7を使用してアプリを開発・実行する

Mavenを使用している場合は、`pom.xml`ファイルに以下の内容を含めます。

<plugin>
    <groupId>io.openliberty.tools</groupId>
    <artifactId>liberty-maven-plugin</artifactId>
    <version>3.11.4</version>
</plugin>

Gradleを使用している場合は、 build.gradle ファイルに以下の内容を含めます。

buildscript {
    repositories {
        mavenCentral()
    }
    dependencies {
        classpath 'io.openliberty.tools:liberty-gradle-plugin:3.9.4'
    }
}
apply plugin: 'liberty'

コンテナ・イメージを使用している場合は以下です。

FROM icr.io/appcafe/open-liberty

または、ダウンロード・ページをご覧ください。

IntelliJ IDEAVisual Studio CodeまたはEclipse IDEを使用している場合は、オープンソースの Liberty開発者ツールを活用して、IDE 内で効果的な開発、テスト、デバッグ、およびアプリケーション管理を行うことができます。

Stack Overflowで質問する

Open Libertyにおけるログ管理の強化:アクセスログのmaxFilesパラメータの適用範囲の拡張

Open Libertyの堅牢なロギングシステムは、開発者や管理者がアプリケーションの実行時の挙動を把握するのに役立ちます。25.0.0.7におけるリリースでは、Open Libertyのアクセスログ設定における maxFiles パラメータが強化されました。この変更により、ログファイルのクリーンアップが改善され、出力ディレクトリ内のすべての該当するログファイルが、現在のプロセスによって生成されたものだけでなく、考慮されるようになりました。Open Libertyのアクセスログは、すべての受信HTTPリクエストを記録し、アクセスログファイルに保存します。アクセスログの各種パラメータは server.xml 構成ファイルで設定できます。その1つが maxFiles で、サーバーが保持するローテーション済みアクセスログファイルの数を制御します。

従来の動作では、Open Libertyのクリーンアップ機構は現在のサーバー・プロセス実行中に作成されたアクセスログファイルのみを追跡・削除していました。そのため、以前のサーバー・プロセス実行時に生成された古いログファイルはディレクトリ内に残っていました。

この課題に対応するため、maxFiles パラメータの適用範囲が拡張されました。主な変更点は、サーバーがログ出力ディレクトリ内の設定されたファイル名パターンに一致するすべてのログファイルを、どのプロセスで作成されたかに関係なく考慮し、合計が maxFiles を超えた場合は最も古いものから削除するようになったことです。

利点:

  • クリーンアップの強化: ログディレクトリが整理され、想定した上限内に保たれます。

  • プロセスをまたいだ対応: 過去の実行で生成されたログも管理対象となります。

  • 一貫性: デプロイをまたいでも予測可能で信頼性の高いログ保持動作を実現します。

maxFiles パラメータを使ったアクセスログの有効化方法は以下の通りです。

<httpEndpoint id="defaultHttpEndpoint" httpPort="9080" httpsPort="9443">
    <accessLogging filepath="${server.output.dir}/logs/http_versionEndpoint_access.log"
                   maxFiles="5" rolloverInterval="1m" />
</httpEndpoint>

この設定により、以下の動作が行われます。

  • アクセスログは ${server.output.dir}/logs ディレクトリに保存されます。

  • ローテーションされたアクセスログファイルは最新の5件のみ保持されます。

  • ファイル数が5件を超えると、新しいファイル作成時に最も古いファイルが自動的に削除されます。

今すぐOpen Liberty 25.0.0.7を入手

Maven、Gradle、Docker、およびダウンロード可能なアーカイブとして入手できます。

]]>Navaneeth S Nair