이 문서는 출시된 Jira Software 10.0.x 릴리즈 노트를 공유하기 위해 작성되었다.
하이라이트
호환 가능한 어플리케이션
Data Center Security Hub (데이터센터 보안 허브) 소개
지라 소프트웨어 JIRA 서비스 관리
데이터센터 보안 허브는 데이터 센터 보안 문서를 위한 중앙 저장소입니다. 이를 사용하면 데이터 센터 환경의 보안을 사전에 관리하고 강화할 수 있습니다.
데이터센터 보안의 복잡한 환경을 효과적으로 탐색하는 데 도움이 되는 광범위한 리소스를 제공합니다. 이러한 리소스에는 인스턴스 구성, 제품 상태 모니터링, 취약성 관리가 포함되어 있습니다.
또한, 관리자를 위한 Data Center security checklist and best practices (데이터센터 보안 체크리스트 및 모범 사례)가 릴리즈 되었습니다.
이 가이드는 Atlassian 자체 관리 소프트웨어를 안전하게 배포하고 관리하는 것에 대한 통찰력을 제공합니다.
보안 관련 의견 및 피드백 공유를 위한 커뮤니티 게시물에 의견을 공유할 수 있습니다.
Atlassian Data Center Platform 7으로 업그레이드
지라 소프트웨어 JIRA 서비스 관리
Jira 10.0에는 Atlassian Data Center Platform 7 업그레이드가 포함되어 있습니다.
이 업그레이드는 Atlassian Marketplace 앱의 중단과 중대한 변경을 줄여 보안 변경에 대한 대응 품질을 개선합니다.
다음은 Platform 7로의 업그레이드의 일환으로 보안과 성능 향상 관련으로 진행된 업데이트 항목입니다.
- 타사 라이브러리 수를 줄이고 종속성 관리를 개선
- 최신 보안 패치와 버그 수정의 이점을 활용하기 위해 수많은 Atlassian 및 타사 구성 요소를 업그레이드
- Java API의 전반적인 정의를 개선
- Java17에 필요한 최소한의 지원 구현
Jira Software Data Center가 마이그레이션되어 REST v2 공개
Platform 7과 Jira 10.0은 REST 리소스를 구현하는 데 사용되는 Java API를 재구성했으며, 이를 REST v2라고 합니다. 이 변경 사항은 앱을 개발하는 Marketplace 파트너에게만 영향을 미칩니다.
기본 라이브러리인 Jackson과 Jersey는 최신 버전으로 업그레이드되었고, REST v2는 JAX - RS 2도 사용합니다.
REST v2 마이그레이션 가이드 지라 소프트웨어 JIRA 서비스 관리 이 기능은 아직 개발 중으로, 일부 영역에서는 아직 지원되지 않습니다. 이 릴리스에서는 다크 테마가 처음으로 부분적으로 제공됩니다. 이 기능은 기본적으로 Original 테마가 선택된 상태에서 켜집니다. 또한, 모양과 느낌은 두 테마에 모두 색상 선택을 적용하지 않습니다. 인스턴스에서 사용자 지정 헤더 색상을 사용하는 경우 기본적으로 밝은 테마로 설정됩니다. 테마를 변경하려면 프로필 → 테마로 가서 밝게, 어둡게, 브라우저와 일치를 선택하세요. 테마를 끄려면 지라 소프트웨어 JIRA 서비스 관리 Jira 10.0은 이제부터는 하위 Java 버전 (8 또는 11)에서 Jira를 실행할 수 없습니다. 바이너리 설치 프로그램이 제거되었기 때문에 Java는 더 이상 Jira와 함께 제공되지 않아 수동 설치가 요구됩니다. 지라 소프트웨어 JIRA 서비스 관리 Jira 10.0에서는 Jira 배포판에서 H2 데이터베이스와 H2 라이브러리 자체에 대한 지원을 종료햇습니다. 여러 보안 취약성을 해결하기 위해 H2 데이터베이스 엔진 용 JDBC 드라이버가 더 이상 Jira와 함께 제공되지 않습니다. 또한 H2 임베디드 데이터베이스를 사용하여 Jira 10.0을 평가할 수 없게 됩니다. 지라 소프트웨어 JIRA 서비스 관리 Jira 9.0부터 Jira 자동화를 Jira의 일부로 통합하여 Jira 또는 Universal Plugin Manager (UPM)을 통해 업그레이드할 수 있는 편의성을 제공하고 있습니다. 앞으로는 Jira 자동화에 대한 경험을 간소화하고 향상시키기 위해 Jira 10.0부터 번들 버전으로만 제공합니다. 따라서 앞으로는 Jira 릴리즈 노트에서 모든 Jira 자동화 업데이트를 전달합니다. Atlassian Marketplace에서 향후 Jira 자동화 버전을 사용할 수 없지만 기존 버전의 보안은 계속 지원됩니다. Jira를 업그레이드하기만 하면 새로운 기능과 개선 사항에 계속 액세스할 수 있습니다. Jira 10.0부터 Jira 자동화의 번들 버전이 REST v2로의 마이그레이션을 포함하여 이번 릴리즈에서 도입된 변경 사항에 맞게 업데이트되었습니다. 지라 소프트웨어 JIRA 서비스 관리 Atlassian은 모든 데이터 센터 제품에 대해 검증 가능한 보안 설치 디렉토리를 구축하기 위한 단계를 밟고 있습니다. 이러한 변경 사항은 공격자가 파일 시스템 액세스를 악용하기 어렵게 만들 뿐만 아니라 고객이 제품 설치 상태를 검증할 수 있도록 합니다. Jira 10.0부터 파일 시스템에 저장된 모든 Velocity 파일 (예: shared, local home 등)은 명시적으로 허용 목록에 추가되어야 하며 특정 파일 유형이어야 합니다. 파일들은 .jar 파일 내부에 저장되고 플러그인 내부에 번들로 되어 있는 파일은 영향을 받지 않습니다. 또한 Velocity 템플릿 내의 모든 메서드 호출은 명시적으로 허용 리스트에 추가되어야 합니다. 자세한 내용은 Velocity 메서드 허용 목록 구성하기 와 Velocity 파일과 파일 유형 허용 목록 구성하기를 참조하시기 바랍니다. 현재 Velocity 메서드 허용 목록은 앱 개발자가 이 메커니즘에 적응하고 우리가 주요 허용 목록을 완료하고 문제 위험을 최소화할 수 있도록 디버그 모드에 있습니다. 디버그 모드는 곧 출시될 LTS 릴리즈에서 가장 빠른 시일 내에 비활성화될 예정입니다. 지라 소프트웨어 JIRA 서비스 관리 엔드포인트에 대한 액세스를 더 잘 제어할 수 있도록 하여 엔드포인트 보안을 개선하기 위해 Webwork 작업, 서블릿, REST 엔드포인트 및 필터에 대한 새로운 주석 세트를 도입하고 있습니다. 이러한 주석은 의도된 사용자만 애플리케이션 엔드포인트에 액세스하도록 하기 위해 개정되었습니다. Jira 10.0부터 주석이 지정되지 않으면 라이선스가 있는 사용자만 리소스에 액세스할 수 있습니다. 이를 변경하려면 보안 허가 수준이 낮은 모든 엔드포인트에 주석을 달면 됩니다. 모든 관리자 및 시스템 관리자 엔드포인트에 주석을 달아 보안 조치를 더욱 강화할 수 있습니다. 지라 소프트웨어 JIRA 서비스 관리 관리자는 이제 중요한 보안 위협을 신속하게 식별하고 해결할 수 있습니다. 이 기능은 중요한 구성의 수정이나 액세스 권한 변경과 같은 의심스러운 활동을 모니터링하고 감지하는 데 도음이 됩니다. 시스템이 위협을 식별하면 관리자는 이메일 알림을 받습니다. 이러한 알림에는 가능한 보안 위협을 효과적으로 조사하고 해결하기 위해 제안된 조치가 포함되어 있습니다. 권한이 있는 사용자는 이 기능을 사용하여 알림을 보고, 검색하고, 분류할 수 있습니다. 알림을 보면 사용자의 과거 활동을 묘사한 자세한 차트가 표시됩니다. 이 기능을 통해 보안 팀 구성원은 사용자의 과거 활동에 대한 귀중한 통찰력을 얻을 수 있습니다. 지라 소프트웨어 JIRA 서비스 관리 S3 개체 스토리지는 특히 대규모 또는 계속 증가하는 데이터 저장 요구 사항이 있는 고객에게 네트워크 파일 시스템( NFS )에 비해 향상된 엔터프라이즈 환경을 제공합니다. Jira 9.11에서 사용자 정의 스토리지 방법인 Amazon S3 (Simple Storage Service) 를 구성할 수 있는 가능성을 도입했습니다. 이 기능은 Jira 10.0부터 모든 호환되지 않는 API가 제거되었기 때문에 기능 플래그 없이도 이 동작을 사용할 수 있습니다. S3 호환 API를 노출하는 타사 객체 저장소에 첨부 파일을 저장할 수도 있습니다. 그러나 Amazon S3 이외의 객체 저장소에 저장된 첨부 파일에 대한 직접적인 지원은 제공하지 않습니다 .다크 테마 부분 제공
com.atlassian.jira.theme.switcher
기능 플래그를 비활성화할 수 있습니다.Java 17이 기본값
H2 데이터베이스 엔진 지원 종료
Jira 자동화 업데이트
Velocity 템플릿 허용 목록 보안 개선
새로운 기본 엔드포인트 보안 주석
보안 모니터링 및 알림
기능 플래그 없이 Amazon S3에서 첨부파일 저장소 활성화
com.atlassian.jira.attachments.storage.configurable
기능 플래그 뒤에서 사용할 수 있었습니다.
워크플로우 레이아웃에서 MD5 사용 중단
워크플로 레이아웃을 읽고 쓸 때 Jira Data Center에서 MD5 해시 사용을 제거합니다.
결과적으로 Atlassian Marketplace에서 새로 가져온 워크플로에 대한 워크플로로 Export를 사용할 때 더 이상 layout.json
파일을 만들지 않고,
layout.v2.json
파일을 만듭니다.
기존 워크플로 레이아웃을 MD5 에서 보다 안전한 SHA256 해싱 함수로 변환하기 위한 업그레이드 작업을 구현했습니다 . 업그레이드 작업은 Jira 10.0으로 업그레이드하는 동안 실행됩니다.
Jira Data Center에서 Jira Cloud로 전환하려는 고객은 먼저 Jira 10.0 이상으로 업그레이드해야 합니다.
마찬가지로 Jira Cloud에서 Jira Data Center로 마이그레이션하려는 고객은 Jira 10.0 이상 릴리스에서만 가능합니다.
사용자 라이선스 한도에 대한 알림 설정
지라 소프트웨어 JIRA 서비스 관리
새로운 상태 점검 알림으로 Jira Software 및 Jira Service Management 라이선스 한도를 체크할 수 있습니다.
한도에 도달하면 경고하여 라이선스를 업그레이드하거나 사용자 수를 관리할 시간을 제공합니다.
또한 이 알림을 사용자 지정하여 사용 가능한 여분의 설정된 수 또는 백분율 (기본값은 10%)에 대해 알림을 받을 수 있습니다.
Jira 10.0으로 업그레이드하기 전에
플랫폼 릴리스를 통해 이전 버전과 호환되지 않는 여러 가지 중요한 변경 사항을 통합할 수 있습니다.
이러한 변경 사항은 향후 릴리스에서 보다 광범위한 개발을 위한 강력한 기반을 구축합니다.
이번 릴리스에서는 보안과 성능을 높이기 위해 핵심 아키텍처를 크게 변경했습니다.
업그레이드하기 전에 Jira 10.0 업그레이드 참고 사항에서 중요한 업그레이드 단계를 검토하고 해결된 문제의 전체 목록을 확인하세요.
Marketplace 앱 호환성 확인
주요 릴리스로서 Jira 10.0은 앱 API 에 이전 버전과 호환되지 않는 변경 사항을 도입합니다.
사용자 지정 사내 앱을 빌드하는 경우 호환성을 테스트하고 업데이트해야 합니다.
Atlassian 마켓플레이스나 다른 소스에서 앱을 설치한 경우 업그레이드를 수행하기 전에 호환성을 확인하고 업데이트해야 합니다.
애플리케이션 업데이트와 앱 호환성 확인 또는 Atlassian Marketplace에서 앱 호스팅이 해당 제품 버전과 호환되는지 확인하세요.