이 문서는 출시된 Confluence 10.0 릴리즈 노트를 공유하기 위해 작성 되었습니다.
Highlights
Spring 및 Jakarta 업그레이드
ADMIN
높은 보안 표준을 유지하고 종속성을 지원하고 최신 상태로 유지하기 위해 Spring을 6.x 라인으로, Jakarta를 EE Platform 10 으로 , Apache Tomcat을 10.1로 업그레이드하고 있으며,
Spring과 Jakarta에 의존하는 다른 라이브러리도 업그레이드하고 있습니다.
Apache Tomcat 업그레이드는 Jakarta Servlet 사양에도 변경 사항을 적용합니다.
사용자 지정 서버 설정이나 커넥터를 사용하는 경우 업그레이드 전에 다음 사항을 검토하십시오.
- 사용자 지정 server.xml 구성, 특히 "javax.servlet" API 참조를 확인하세요. Tomcat 10.1은 "jakarta.servlet" 네임스페이스로 마이그레이션되었습니다.
- Tomcat 10.1에서 모든 커넥터(HTTP, AJP 등)가 여전히 지원되고 올바르게 구성되었는지 확인하세요.
- 모든 보안 또는 TLS/SSL 설정이 Tomcat 10.1의 기본 암호화 프로토콜과 호환되는지 확인하세요.
Tomcat 10.1에서 도입된 변경 사항에 대한 자세한 내용은 공식 Apache Tomcat 문서를 참조하세요.
AUI 10에서 더 이상 사용되지 않는 구성 요소 제거
ADMIN
디자인 및 접근성 문제가 있는 일부 오래된 AUI 10 구성 요소( Dropdown 1 및 Toolbar 1 ) 를 제거하고
jQuery 3을 더 잘 지원하고 보안 문제를 사전에 해결하기 위해 내부 종속성을 업데이트하고 있습니다.
LESS 지원 종료
ADMIN
보안과 성능을 강화하기 위해 런타임에 LESS를 CSS로 변환하는 기능을 제거하고 컴파일 시에 CSS로 변환하도록 요구합니다.
신뢰할 수 있는 앱 제거
ADMIN
Confluence 10.0부터 신뢰할 수 있는 앱을 사용할 수 없습니다. 제품에 대한 안전하지 않은 진입점의 수를 줄이기 위해 신뢰할 수 있는 앱을 제거하고 있습니다.
Atlassian 제품 간의 정보 교환 방식을 OAuth 2.0 프로토콜과 같은 업계 모범 사례를 따르는 더욱 안전한 솔루션으로 대체했습니다.
Original 테마 지원 종료
ADMIN
접근성과 사용성이 개선된 새로운 밝은 테마와 어두운 테마가 출시되면서 모든 제품에서 기존 테마를 제거하고 있습니다.
글로벌 직렬화 필터
ADMIN
Java 역직렬화, Velocity, Struts, XStream에 대한 중앙 차단 목록을 활용하는 글로벌 직렬화 필터를 구현하고 있습니다.
이 필터는 공개적으로 알려진 가젯 체인을 통해 원격 코드 실행(RCE)에 취약한 것으로 인식되는 특정 클래스와 패턴을 차단하도록 설계되었습니다.
XStream 사용과 관련하여 몇 가지 중요한 변경 사항을 구현했습니다.
- XStream에는 이제 직렬화 또는 역직렬화가 금지된 알려진 취약 클래스의 사전 정의된 차단 목록이 포함되었습니다.
- 사용자 지정 클래스 유형을 직렬화하거나 역직렬화해야 하는 경우, 앱은 모듈 설명자에 해당 유형을 정의해야 합니다.
예:<xstream-security key="xstream-allowlist" name="XStream allow-list set"> <type>java.util.Map</type> </xstream-security> - 정규 표현식을 통해 유형을 허용하는 옵션이 제거되었습니다.
앱 설치 시 앱 서명 활성화
ADMIN
앱 보안을 강화하기 위해, 서명된 앱만 설치할 수 있도록 제한하는 새로운 기능을 도입합니다.
이를 통해 다음과 같은 이점을 얻을 수 있습니다.
앱이 Atlassian Marketplace에서 제공되거나 신뢰할 수 있는 파트너가 수동으로 업로드했는지 확인하세요.
악의적인 행위자가 유해한 앱을 업로드하는 것을 방지합니다.
앱 서명은 새로운 앱 설치에만 영향을 미치며, 이미 설치된 앱은 그대로 유지됩니다. 이 기능은 2025년 중반까지 모든 데이터 센터 제품에 단계적으로 적용될 예정입니다.
자세한 내용은 다음 커뮤니티 게시물을 확인하세요.
App Signing rollout started: Time to boost App security
이번 릴리스에서는 앱 서명이 기본적으로 비활성화되어 있습니다. 유예 기간은 Universal Plugin Manager(UPM)의 다음 기능 릴리스까지 지속되며, 그 이후에는 앱 서명이 기본적으로 활성화됩니다.
유예 기간을 활용하여 프로세스를 조정하세요. 마켓플레이스에서 애플리케이션을 설치하는지, 아니면 직접 애플리케이션을 개발하는지에 따라 수행해야 할 단계가 달라집니다.
마켓플레이스에서 앱 설치하는 경우
- Configuring UPM app signature check 의 설명대로
truststore디렉토리 위치를 설정 - Atlassian Certificate 번들을 다운로드 및 설치
자세한 사항은 Updating Atlassian Certificate Bundles 을 참고 - Marketplace에서 안전한 앱 설치
사용자 정의 앱을 설치하는 경우
- Configuring UPM app signature check 의 설명대로
truststore디렉토리 위치를 설정 - Generating app signature and verification certificate using OpenSSL 의 설명에 따라 앱 서명과 인증서 받기
- Updating Atlassian Certificate Bundles 의 설명에 따라 Trust store에 새 인증서 추가
- 서명된 앱 설치
앱 서명 기능을 사용하지 않고도 파일 시스템을 통해 앱을 설치할 수 있습니다.
문제가 발생하면 app signing troubleshooting을 확인하세요.
콘텐츠 보안 정책을 통한 보안 강화
ADMIN
Confluence 10.0에서는 콘텐츠 보안 정책(CSP)을 구현하고 있습니다. 이 새로운 기능은 웹 브라우저에 페이지에서 실행 가능한 콘텐츠를 지정하여 보안을 강화하고,
XSS(크로스 사이트 스크립팅) 및 기타 코드 삽입 공격 위험을 크게 줄여줍니다.
CSP는 문서가 로드할 수 있는 리소스를 제어함으로써 데이터 유출을 방지하고 Confluence의 전반적인 안정성과 신뢰성을 향상시킵니다.
Confluence 10.0에서는 script-src CSP 헤더가 보고 전용 모드로 활성화됩니다.
즉, 시스템이 위반 사항을 기록하더라도 리소스를 차단하지 않으므로 사용자 경험에 영향을 미치지 않고 잠재적인 보안 문제를 모니터링할 수 있습니다.
CSP의 완전한 적용은 Confluence 11에서 도입될 예정입니다.
기본 인증은 기본적으로 비활성화
ADMIN
기본 인증을 통한 인증은 기본적으로 비활성화됩니다.
이는 남은 몇 가지 사용 사례를 지원하기 위한 대안을 개발하고 발전시켜 나가는 과정에서 기본 인증을 완전히 제거하기 위한 첫 단계입니다.
이 변경 사항은 신규 설치에만 적용되며, 기존 또는 업그레이드된 Confluence 설정에는 영향을 미치지 않습니다.
동기화 프로세스의 모니터링 및 관찰
ADMIN
이 업데이트를 통해 Synchrony 프로세스를 더욱 효과적으로 모니터링하여 시스템 안정성을 확보하고 문제를 신속하게 해결할 수 있습니다.
또한, JMX 또는 statsD를 통해 핵심 Java Virtual Machine(JVM) 및 Synchrony 관련 지표를 내보낼 수 있어 기존 모니터링 시스템과의 통합이 더욱 용이해집니다.
핵심 JVM 지표 에는 가비지 컬렉션, 메모리 사용량, CPU 사용률 등 다양한 성능 지표가 포함됩니다. 이러한 지표는 JVM 환경의 전반적인 상태와 성능에 대한 통찰력을 제공합니다.
Synchrony 전용 지표는 Synchrony 프로세스 자체의 성능에 중점을 둡니다.
여기에는 메시지 처리 시간, 사용자 활동, 오류 횟수 등이 포함되어 있어 협업 편집 환경을 모니터링하고 최적화하는 데 도움이 됩니다.
모니터링을 구성하려면 시스템 속성이나 환경 변수를 사용하세요.
Synchrony가 Confluence에서 관리되는 경우, 이러한 속성을 synchrony-args.properties 파일에 추가하세요.
자세한 구성 지침은 다음을 참조하세요. Configuring Synchrony
OAuth 2.0 2LO를 사용하려면 REST 엔드포인트에 범위를 추가
ADMIN
REST 엔드포인트에 대한 보안과 제어를 개선하기 위해 새로운 @ScopesAllowed 기능을 도입했습니다.
OAuth 2.0 클라이언트 자격 증명 토큰(2LO)을 사용하여 엔드포인트에 액세스할 수 있도록 주석 @ScopesAllowed을 추가합니다.
예를 들어, 이 주석은 이 엔드포인트에 대한 액세스를 제공하기 전에 액세스 토큰에 WRITE 범위가 있어야 함을 요구합니다.
@POST
@ScopesAllowed(requiredScope = "WRITE")
public void createEntity(...) {}
지원되는 범위는 다음과 같습니다.
- Confluence: OAuth 2.0 scopes for incoming links
- Jira: OAuth 2.0 scopes for incoming links
- Bitbucket: OAuth 2.0 scopes for incoming links
- Bamboo: OAuth 2.0 scopes for incoming links
- Crowd: Configuring an incoming link
매크로에 표시되는 레이블 수를 제어
ADMIN END USERS
표시할 레이블 수 필드를 사용하여 레이블 목록, 최근 사용된 레이블 및 인기 레이블 매크로에 표시되는 레이블 수를 설정할 수 있습니다.
Confluence는 매크로에 표시할 레이블을 검색할 때 기본적으로 최대 1,000,000개의 레이블을 처리합니다.
관리자는 구성 파일에 시스템 속성을 추가하여 이 제한을 변경할 수 있습니다.
사이트에 레이블이 많고 검색 결과가 모두 반환되지 않는 경우 제한을 늘리면 도움이 되지만, 성능이 저하될 수 있습니다.
자세한 지침과 적용 가능한 매크로는 다음을 확인하세요.
해결된 문제
Released on
| Key | Summary | T | Created | Updated | Due | Assignee | Reporter | P | Status | Resolution |
|---|---|---|---|---|---|---|---|---|---|---|
| CONFSERVER-100507 | UPM app signature check cannot be disabled | Aug 07, 2025 06:48 | Aug 08, 2025 02:03 | Kusal Kithul-Godage | Kusal Kithul-Godage |  | CLOSED | Fixed |
Released on
Showing 20 out of 48 issues