Java 近期新闻：外部函数和内存 API、OpenJDK JEP、Apache Tomcat CVE

OpenJDK

在结束了评审之后，JEP 454（外部函数和内存 API）从 Proposed to Target进入到了 Targeted（JDK 22）状态。该 JEP 建议在经历了两轮孵化和三轮预览之后确定这个特性：在 JDK 17 中交付的 JEP 412（外部函数和内存API(孵化器)）、在 JDK 18 中交付的 JEP 419（外部函数和内存API(第二轮孵化器)）、在 JDK 19 中交付的 JEP 424（外部函数和内存API(预览)）、在 JDK 20 中交付的 JEP 434（外部函数和内存API(第二次预览)），以及在 JDK 21 GA 版本中交付的 JEP 442（外部函数和内存API(第三次预览)）。自上一个版本以来的改进包括：新的Enable-Native-Access manifest 属性，允许可执行 JAR 包中的代码调用受限制的方法而无需使用——Enable-Native-Access标志；允许客户端通过编程的方式构建 C 函数描述符，避免使用特定于平台的常量；改进了对本地内存中可变长度数组的支持；支持多字符集本地字符串。InfoQ 将会继续跟进报道。

JEP 460（Vector API(第七轮孵化器)）已从 JEP Draft 8315945 进入到 Candidate 状态。这个 JEP 整合了针对前六轮孵化的增强：在 JDK 21 GA 版本中交付的 JEP 448（ Vector API (第六轮孵化器)）在 JDK 20 中交付的 JEP 438（Vector API (第五轮孵化器)）、在 JDK 19 中交付的 JEP 426（Vector API (第四轮孵化器)、在 JDK 18 中交付的 JEP 417（Vector API (第三轮孵化器)、在 JDK 17 中交付的 JEP 414（Vector API (第二轮孵化器)）、在 JDK 16 中作为孵化器模块发布的 JEP 338（Vector API (孵化器)）。JEP 448 最重要的变化包括对JVM编译器接口 (JVMCI)的增强，以支持 Vector API 的值。

JEP Draft 8315398（隐式声明类和实例主方法(第二次预览)），即之前的未命名类和实例主方法(预览)、灵活主方法和匿名主类(预览)和隐式类和增强的主方法(预览)，根据前一轮预览，即 JEP 445（未命名类和实例主方法(预览)）的反馈进行了增强。这个 JEP 建议“让学生可以在不需要理解太多语言特性的前提下编写他们的第一个程序。”2022 年 9 月，Oracle 的 Java 语言架构师Brian Goetz为此撰写了“Paving the on-ramp”一文。Oracle 技术委员会成员Gavin Bierman已发布规范文档初稿，供 Java 社区评审。关于 JEP 445 的更多细节可以在 InfoQ 的其他报道中找到。

Oracle 技术委员会成员Gavin Bierman对 JEP 447（super()的前置语句(预览)）的规范文档进行了更新。JEP 447 提议允许在构造函数的this()或super()之前出现不引用正在创建的实例的语句，并保留构造函数现有的安全性和初始化保证。

JDK 22

JDK 22早期访问构建版本的Build 19提供了针对 Build 18 的更新，其中包括对各种问题的修复。关于该构建版本的更多细节可以在版本说明中找到。

对于JDK 22，开发人员可以向Java Bug Database报告错误。

Spring Framework

Spring Framework 6.1.0 的第一个候选发行版包含了一些问题修复、文档改进、依赖项升级和新特性，例如：为改进对 CRaC 的支持，将`ReactorResourceFactory`类从org.springframework.http.client包移到了 org.springframework.http.client包中；允许为`RestClient`接口实现`ClientRequestObservationConvention`接口；在`ApplicationListenerMethodAdapter`类中公开shouldHandle(ApplicationEvent)方法，用于检查监听器是否对某个事件感兴趣。关于该版本的更多细节可以在版本说明中找到。

类似的，Spring Framework 6.0.13 已发布，其中包含了问题修复、文档改进、依赖项升级和新特性，如：改进了针对Spring表达式语言中因重复文本大小计算而导致的溢出的诊断；为注解了`@Configuration` 的 CGLIB 代理类重新引入`FastClass` 类。关于该版本的更多细节可以在版本说明中找到。

Spring Data 2023.1.0第一个候选版本（代号为 Vaughn）的特新包括：支持 JDK 21；通过配置 Java`Executor` 接口来使用虚拟线程；支持 Kotlin值类；对 CRaC 优化进行了初步探索；文档迁移到了Antora。关于该版本的更多细节可以在版本说明中找到。

Spring Data 各个服务版本（2023.0.5、2022.0.11 和 2021.2.17）的依赖子项目升级包括：Spring Data Commons 3.1.5、3.0.11 和 2.7.17；Spring Data MongoDB 4.1.5、4.0.11 和 3.4.17；Spring Data Elasticsearch 5.1.5、5.0.11 和 4.4.17；Spring Data Neo4j 7.1.7、7.0.11 和 6.3.17。这些版本分别包含在即将发布的 Spring Boot 3.1.5、3.0.12 和 2.7.17 中。

Spring Shell 3.2.0第二个里程碑版本提供了实验性的新终端 UI 和其他值得注意的变化，如：新的`ViewCommand`类，为`View`接口提供更高级别的指令；改进了`ButtonView`和`DialogView`类的实现。关于该版本的更多细节，包括新终端 UI 的演示，可以在版本说明中找到。

Micronaut

Micronaut 基金会发布了Micronaut框架的 4.1.4 版本，包含Micronaut Core 4.1.9和模块更新：Micronaut Serialization、 Micronaut AWS、Micronaut Email、Micronaut Data、Micronaut Maven Plugin、Micronaut SQL Libraries和Micronaut Discovery Client。关于该版本的更多细节可以在版本说明中找到。

Quarkus

Red Hat发布了Quarkus的 3.4.3 版本，主要解决了CVE-2023-44487，一个与 Tomcat HTTP/2 实现有关的问题，容易受到快速重置攻击，进而出现拒绝服务，通常表现为OutOfMemoryError。除此之外，还有文档方面的改进和一些值得注意的修复，如：调用响应式 REST 客户端被挂起（因接收到导致资源无法被释放的无效块响应）；被转换为原生构建的 Quarkus 应用程序（使用了 Picocli 和 JAX-RS）消费 SSE 时抛出ClassNotFoundException；允许 MicroProfile`@ClientHeaderParam`注解覆盖“User-Agent”标头参数。关于此版本的更多细节可以在changelog中找到。

Micrometer

Micrometer Metrics1.12.0-RC1、1.11.5、1.10.12 和 1.9.16 分别带来了依赖项升级和错误修复：在运行 Spring Boot 应用程序时`ObservationRegistry.NOOP`接口的实例为空；调用定义在`Observation` 接口内部类Context的computeIfAbsent()方法时抛出`ConcurrentModificationException` 。版本 1.12.0-RC1 中的新特性包括：将 Jakarta Messaging 规范的增强移到新模块micrometer-jakarta9；Wavefront集成支持 VMware CSP认证系统。关于这些版本的更多细节可以在1.12.0-RC1、1.11.5、1.10.12和1.9.16的版本说明中找到。

类似的，Micrometer Tracing的 1.2.0-RC1、1.1.6 和 1.0.11 版本也包含了依赖项升级和错误修复，如：在 Gradle 构建中应用更广泛的Zipkin Reporter来解决依赖问题；在`ObservationAwareSpanThreadLocalAccessor`类中设置了作用域时可以进行覆盖。1.2.0-RC1 版本的新特性包括：为改进框架的配置，在匹配`TimeAspect`类时将`SpanTagAnnotationHandler`类定义为可选的；io.opentelemetry:opentelemetry-semconv改为io.opentelemetry.semconv:opentelemetry-semconv，因为 OpenTelemetry 已经弃用了旧的语义约定模块，使用了一个具有不同 Maven 坐标的新模块。关于这些版本的更多细节可以在1.2.0-RC1、1.1.6和1.0.11的版本说明中找到。

Apache 软件基金会

Apache Tomcat团队披露了四个影响版本 11.0.0-M1 至 11.0.0-M11、10.1.0-M1 至 10.1.13、9.0.0-M1 至 9.0.80 和 8.5.0 至 8.5.93 的 CVE。

• CVE-2023-42795，在回收各种内部对象（包括请求和响应）时出现的信息暴露问题，即一些错误可能导致 Tomcat 跳过回收过程的某些部分，旧对象在被下一个请求/响应重用之前发生信息泄漏。

• CVE-2023-45648，攻击者在反向代理后面通过发送特制的无效标头促使 Tomcat 将单个请求视为多个请求，从而导致请求夹带。

• 之前提到的CVE-2023-44487。

• CVE-2023-42794，Commons FileUpload包的 Tomcat 内部分支包含了一个未发布的针对 Windows 的重构，如果一个 Web 应用程序为上传的文件打开了一个流，但未能关闭流就会出现该漏洞。由于磁盘已满，该文件将永远不会从磁盘上删除，从而可能导致拒绝服务。该 CVE 仅影响 Tomcat 9.0.70 至 9.0.80 和 8.5.85 至 8.5.93。

这些受影响版本的用户需要采取以下缓解措施之一：至少升级到 Apache Tomcat 的版本11.0.0-M12、10.1.14、9.0.81和8.5.94。

Apache Kafka 3.6.0版本包含了错误修复、改进和新功能，例如：支持Kafka Raft (KRaft)的委托令牌；将 Kafka 集群从 ZooKeeper 元数据系统迁移到 KRaft 元数据系统的能力；将分级存储作为早期访问功能。关于该版本的更多细节可以在版本说明中找到。

Apache Camel 4.1.0版本包含了错误修复、依赖项升级和新特性，如：捕获启动事件并按照人类可读的格式报告时间；新的Camel Thymeleaf模板组件，作为对现有Camel Freemarker和Camel Velocity组件的补充；一个新的命令，按照CycloneDX格式为给定的 JBang 项目生成 SBOM。关于该版本的更多细节可以在版本说明中找到。

Eclipse Vert.x

Eclipse Vert.x 4.4.6版本包含了依赖项升级和一些值得注意的变更，如：升级到Netty 4.1.100.Final，解决了上述的 CVE-2023-44487；修复`Money` 类，弃用Money(long,int)构造函数，转而使用Money(Number)；不再支持curl命令中的空Host标头，这个空标头会抛出NullPointerException。关于该版本的更多细节可以在版本说明和弃用和重大变更说明中找到。

Reactor

Reactor 2023.0.0 的第一个候选版本包含对reactor-core 3.6.0-RC1、reactor-pool 1.0.3和reactor-netty 1.1.12的依赖项升级。2023.0.0-RC1 版本也进行了调整，其中reactor-kafka 1.3.21、 reactor-addons 3.5.1和reactor-kotlin-extensions 1.2.2保持不变。关于该版本的更多细节可以在变更日志中找到。

类似的，Reactor 2022.0.12，第十二个维护版本包含了对reactor-core 3.5.11、reactor-netty 1.1.12和reactor-pool 1.0.3的依赖项升级。2022.0.11 版本也进行了调整，其中reactor-kafka 1.3.21、reactor-addons 3.5.1和reactor-kotlin-extensions 1.2.2保持不变。关于该版本的更多细节可以在变更日志中找到。

JHipster Lite

JHipster Lite0.44.0 版本已经发布，其中包含问题修复、依赖项升级和新功能（增强），如：在 JDK 21 的某些构建版本中启用；修复了在`KafkaPropertiesTest` 类中使用 Java `HashMap`类的问题；为改善导航体验，在横向屏幕上显示小地图。关于该版本的更多细节可以在版本说明中找到。

Piranha

Piranha 23.10.0版本包含了一些显著变化，如：依赖项和插件升级；修复了`PiranhaJarContainer` 类中的代码坏味道；修复漏洞、技术债务、安全和可靠性问题。关于该版本的更多细节可以在其官方文档和问题跟踪器中找到。

RefactorFirst

Improving（一家提供培训、咨询、招聘和项目服务的公司）首席软件咨询顾问Jim Bethancourt宣布发布RefactorFirst 0.5.0-M1。该版本包含了许多依赖项升级和新特性，如：新的 RefactorFirst 命令行；将 HTML、CSV 和 JSON 报告重构成各自的模块。值得注意的是，RefactorFirst 现在需要 JDK 11 来解决CVE-2023-4759，这是JGit 6.6.0 以下版本存在的一个漏洞，攻击者可以使用特制 git 存储库中的符号链接将文件写入工作树之外的位置。因此，该项目也被移到 GitHub 上新创建的 RefactorFirst 目录中。关于该版本的更多细节可以在版本说明中找到。

摩洛哥 Devoxx 大会

摩洛哥Devoxx大会在Hilton Taghazout Bay Beach Resort & Spa举办，来自 Java 社区的演讲者发表了主题演讲，包括：架构、数据与人工智能、开发实践、DevOps 与云计算，以及安全。

原文链接：

https://www.infoq.com/news/2023/10/java-news-roundup-oct09-2023/