Bamboo 11.0 Release Notes 릴리즈 노트

이 문서는 2025년 4월에 출시된 Bamboo 11.0 Release Note 릴리즈 노트를 공유하기 위해 작성되었다. 

Highlights

Freemarker 및 Velocity 템플릿 허용 목록(allowlist) 보안 강화

모든 Data Center 제품의 설치 디렉터리를 더 안전하게 만들기 위한 조치를 진행 중입니다.
이러한 변경은 공격자가 파일 시스템 접근을 악용하는 것을 더 어렵게 만들고, 고객이 제품 설치 상태를 검증할 수 있도록 돕습니다.

Bamboo 11.0부터는 다음과 같은 새로운 보안 정책이 적용됩니다.

• 파일 시스템(공유 디렉터리, 로컬 홈 디렉터리 등)에 저장된 모든 Velocity 파일은 명시적으로 허용 목록(Allowlist)에 등록되어야 하며, 특정 파일 타입이어야만 사용 가능합니다.

• 단, .jar 파일 안에 포함된 파일이나 플러그인에 번들된 파일은 이 정책의 영향을 받지 않습니다.

• 추가로, Freemarker 또는 Velocity 템플릿 내의 모든 메서드 호출도 명시적으로 허용 목록에 등록되어야 합니다.

자세한 설정 방법은 다음 문서를 참고할 수 있습니다.

• Velocity 메서드 허용 목록 설정

• Velocity 파일 및 파일 타입 허용 목록 설정

• Freemarker 메서드 허용 목록 설정

Apache Struts 6로 마이그레이션

이번 업데이트에서는 Apache Struts 6로 업그레이드 되었습니다. 이에 따라 주의해야 할 주요 변경 사항은 다음과 같습니다.

• Getter 메서드에 어노테이션 추가 (@StrutsParameter(depth=X) — struts-corelib에 의존)

• Setter 메서드에 어노테이션 추가 (@StrutsParameter — struts-corelib에 의존)

• 액션 메서드는 이제 완전한 이름을 명시해야 합니다. 이전에는 접두사를 생략할 수 있었지만(doSomething 대신 do 생략 가능), 이제는 완전한 이름이 필요합니다.

• 템플릿에서 .bamboo.가 사용될 때 Struts 경고를 피하기 위해 기존의 getBamboo() 메서드는 getBambooContainer()로 이름이 변경되었습니다.

• OGNL 허용 목록(Allowlist) 적용

이러한 변경 사항을 적용하는 방법에 대한 자세한 문서는 다음 링크에서 확인할 수 있습니다.

https://developer.atlassian.com/server/confluence/struts-module/

이제 배포 프로젝트와 환경이 캐시됩니다

아 Bamboo 11에서는 배포 프로젝트와 환경에 대한 애플리케이션 수준 캐싱이 도입되었습니다.
특히 배포 프로젝트나 환경을 많이 사용하거나 다수 보유한 경우에 큰 효과를 볼 수 있습니다.

Bamboo는 사용자 인터페이스(UI)와 백그라운드 처리 시 캐시된 객체를 제공함으로써 화면 표시 속도를 높이고, 리소스 사용을 최적화합니다.

이 기능은 기본적으로 활성화되어 있습니다.

bamboo.deployment.cache.enabled 시스템 속성을 통해 비활성화할 수도 있지만, 활성화를 유지하는 것을 권장합니다.

오프라인 에이전트 자동 관리

이제 관리자는 오프라인 에이전트 자동 제거 정책을 설정할 수 있습니다.
이 기능은 에이전트 이름을 정리하고, 인스턴스 데이터를 깔끔하게 유지하는 데 도움을 줍니다.
자동 관리를 활성화하면 에이전트 처리 성능이 향상됩니다.

앱 서명을 통한 안전한 앱 설치

앱 보안을 강화하기 위해, 이제 서명된 앱만 설치할 수 있도록 제한하는 기능이 도입되었습니다.

이 기능은 다음을 보장합니다.

• 앱이 Atlassian Marketplace에서 제공되거나, 신뢰할 수 있는 파트너에 의해 수동으로 업로드된 경우에만 설치가 허용됩니다.

• 악성 행위자가 유해한 앱을 업로드하는 것을 방지합니다.

앱 서명 기능은 신규 앱 설치에만 적용되며, 이미 설치된 앱은 영향을 받지 않습니다.

이 기능은 2025년 중반까지 Data Center 제품 전반에 걸쳐 점진적으로 배포될 예정입니다.
자세한 내용은 커뮤니티 포스트를 참고하세요.

현재 릴리스에서는 기본적으로 앱 서명이 비활성화되어 있으며, Universal Plugin Manager(UPM)의 다음 기능 릴리스 이후에는 기본적으로 활성화될 예정입니다.
이전까지는 유예 기간이 주어지며, 이 기간 동안 프로세스를 미리 준비할 수 있습니다.

프로세스 준비 방법은 앱을 Marketplace에서 설치하는지 또는 커스텀 앱을 직접 빌드하는지에 따라 달라집니다.

Marketplace 앱 설치 시 앱 서명 활성화

유예 기간 동안 다음 단계를 통해 앱 서명을 활성화할 수 있습니다.

1. 앱 서명 활성화 (자세한 방법은 [UPM 앱 서명 확인 구성 가이드]를 참고)

2. Atlassian 인증 기관(Certificate Authority, CA) 설치 (자세한 방법은 [Atlassian 인증 번들 업데이트 가이드]를 참고)

이제 Marketplace에서 안전하게 앱을 설치할 수 있습니다.

커스텀 앱 설치

직접 빌드한 커스텀 앱을 사용하는 경우, 다음 단계를 따르세요:

1. 앱 서명 활성화 (자세한 방법은 [UPM 앱 서명 확인 구성 가이드]를 참고)

2. 앱 서명 및 검증 인증서 생성 (자세한 방법은 [OpenSSL을 이용한 앱 서명 및 인증서 생성 가이드]를 참고)

3. 새 인증서를 트러스트 스토어(Trust Store)에 등록 (자세한 방법은 [Atlassian 인증 번들 업데이트 가이드]를 참고)

4. 서명된 앱 설치

또한 파일 시스템을 통해 서명 없이 앱을 설치할 수도 있습니다.

문제가 발생할 경우, [앱 서명 문제 해결 가이드]를 참고하세요.

지원 플랫폼 업데이트

지원 종료 공지

이번 릴리스에서는 다음 플랫폼에 대한 지원이 제거됩니다.

⚠️ PostgreSQL 14

지원 중단 예정 공지 (Deprecated)

다음 플랫폼들은 지원 중단 예정입니다.

⚠️ PostgreSQL 15
⚠️ SQL Server 2017
⚠️ MySQL 8.0
⚠️ Java 17

참조

• bamboo-11-0-release-notes