25.0.0.4 における Java 24 のサポートと OpenTelemetry を使用した Liberty 監査ログの収集機能

Navaneeth S Nair and 野村拓未（翻訳） 2025年4月22日

発表 , microprofile , java-se , リリース , モニタリング , java-ee ,

他言語版へのリンク: English ,

25.0.0.4 リリースでは、Java 24 のサポートが追加されたほか、InstantOn の機能が拡張され、J2EEManagement、AppClientSupport、WsSecurityが追加されました。また、MicroProfile Telemetry 2.0 を使用して Liberty 監査ログをOpenTelemetry に送信することで、統合的な監視を実現できるようになりました。

In Open Liberty 25.0.0.4 では:以下のアップデートが行われました。

InstantOn 機能サポート対象に J2EEManagement、AppClientSupport、WsSecurity が追加
Open Liberty における Java 24 のサポート
MicroProfile Telemetry 2.0 を使用することで Open Liberty の監査ログを OpenTelemetry に送信
セキュリティ脆弱性（CVE）の修正

25.0.0.4 で修正されたバグの一覧をご確認ください。

以前のOpen Liberty GAリリースのブログ投稿もご覧ください。

25.0.0.4 を使用してアプリを開発および実行する

Mavenを使用している場合は、pom.xml ファイルに以下の内容を含めます。

<plugin>
    <groupId>io.openliberty.tools</groupId>
    <artifactId>liberty-maven-plugin</artifactId>
    <version>3.11.3</version>
</plugin>

Gradleを使用している場合は、build.gradle ファイルに以下の内容を含めます。

buildscript {
    repositories {
        mavenCentral()
    }
    dependencies {
        classpath 'io.openliberty.tools:liberty-gradle-plugin:3.9.3'
    }
}
apply plugin: 'liberty'

コンテナイメージを使用している場合。

FROM icr.io/appcafe/open-liberty

または、ダウンロード・ページをご覧ください。

IntelliJ IDEA, Visual Studio Code、または Eclipse IDEを使用している場合は、オープンソースの Liberty developer tools を活用して、IDE 内から効果的な開発、テスト、デバッグ、アプリケーション管理を行うこともできます。

InstantOn 機能のサポート対象に J2EEManagement、AppClientSupport、WsSecurity が追加

Open Liberty の InstantOn は、MicroProfile や Jakarta EE アプリケーションの高速な起動を可能にします。InstantOn を使用すると、スループット、メモリ使用量、本番・開発環境の整合性、Java の言語機能を損なうことなく、アプリケーションをミリ秒単位で起動できます。InstantOn は、Linuxカーネルの CRIU 機能を使用してJVMのチェックポイントを取得し、後から復元できるようにします。また、InstantOn は、 Open Libertyの機能のサブセットをサポートしています。サポート対象外の機能を有効にしている場合、チェックポイントの取得はエラーメッセージとともに失敗します。バージョン25.0.0.4 以降では、以下の機能が InstantOn をサポートするように強化されています。

InstantOn 機能サポート対象に J2EEManagement、AppClientSupport、WsSecurity が追加

2025年3月18日にリリースされた Java 24 は、従来のバージョンと比較して数多くの新機能や改良が加えられています。なお、Java 24 は長期サポート（LTS）リリースではないため、次期バージョンの登場とともにサポートが終了します。とはいえ、Java 24 には多くの魅力的な機能があります。

Java 24のJEPはこちら:

セキュリティマネージャが無効化されたため、Java をセキュリティマネージャ付きで起動したり、実行時にセキュリティマネージャをインストールしたり、AccessController::checkPermission、Policy::setPolicy、SecurityManager::check*、`Subject::getSubject`を使用することができなくなりました。この大きな変更についてアプリケーションを十分にテストし、詳細についてはJEP 486の説明セクションを参照ください。

Open LibertyでJava 24 の新機能をいち早く活用することで、アプリケーション、マイクロサービス、ランタイム環境の見直しに、より多くの時間を確保することができます。この機会に、お使いのサーバーランタイムでの準備を進めましょう！

Open LibertyでJava 24を使い始めるには、Java 24の最新リリースをダウンロードし、25.0.0.4以降のバージョンのOpen Libertyをダウンロードしてインストールしてください。その後、Libertyサーバーのserver.envファイルを編集し、JAVA_HOMEをJava 24のインストールディレクトリに設定してテストを開始してください。

Java 24の詳細については、Java 24のリリースノート、API Javadocページ、またはダウンロードページをご覧ください。

MicroProfile Telemetry 2.0 を使用することで Open Liberty の監査ログを OpenTelemetry に送信

MicroProfile Telemetry 2.0 は最新の OpenTelemetry テクノロジーを提供し、分散トレースに加えてメトリックとログの収集およびエクスポートを可能にします。

Open Liberty Audit機能は、ランタイム環境からセキュリティ関連イベントを取得し、人間が判読できる監査レコードをログファイルに出力します。バージョン25.0.0.4以降では、MicroProfile Telemetry 2.0機能（mpTelemetry-2.0）とAudit機能（audit-1.0`または`audit-2.0）を使用することで、Liberty の監査ログを収集し、構成済みの OpenTelemetry Exporter に送信できるようになりました。このアップデートは、他の Open Libertyランタイムログソース（message logs、trace logs、ffdc）と、java.util.logging（JUL）コンポーネントによって生成されるアプリケーションログの仕組みを基盤としています。

監査ログを収集するには、audit-1.0 または audit-2.0 機能と mpTelemetry-2.0 機能を `server.xml ファイルに追加します。次の例に示すように、新しい audit ログソースを`mpTelemetry`サーバー構成要素の `source 属性に設定します。

<featureManager>
   <feature>audit-2.0</feature>
   <feature>mpTelemetry-2.0</feature>
</featureManager>

<mpTelemetry source="audit"/>

以下の例に示すように`auditFileHandler`要素で監査イベントとその結果を指定することで、どの監査イベントを取得して OpenTelemetry に送信するかを設定することもできます。

<auditFileHandler maxFiles="5" maxFileSize="20" compact="true">
    <events name="AuditEvent_1" eventName="SECURITY_AUTHN" outcome="SUCCESS"/>
    <events name="AuditEvent_2" eventName="SECURITY_AUTHN" outcome="REDIRECT"/>
    <events name="AuditEvent_3" eventName="SECURITY_AUTHN" outcome="FAILURE"/>
    <events name="AuditEvent_4" eventName="SECURITY_AUTHZ"/>
</auditFileHandler>

監査機能の詳細については、機能ドキュメントをご覧ください。OpenTelemetry を包括的な監視ソリューションとして使用する方法の詳細については、OpenTelemetryによるログ、メトリクス、トレースの収集をご覧ください。

セキュリティ脆弱性（CVE）の修正

CVE CVSSスコア脆弱性の内容影響を受けるバージョン備考

CVE	CVSSスコア	脆弱性の内容	影響を受けるバージョン	備考
CVE-2025-25193	5.5	Denial of service	21.0.0.2 ～ 25.0.0.3	`grpc-1.0` および `grpcClient-1.0` 機能に影響
CVE-2025-23184	5.9	Denial of service	17.0.0.3 ～ 25.0.0.3	`jaxws-2.2`、`xmlWS-3.0`、`xmlWS-4.0` 機能に影響

CVE-2025-25193

5.5

Denial of service

21.0.0.2 ～ 25.0.0.3

grpc-1.0 および grpcClient-1.0 機能に影響

CVE-2025-23184

5.9

Denial of service

17.0.0.3 ～ 25.0.0.3

jaxws-2.2、xmlWS-3.0、xmlWS-4.0 機能に影響

過去のセキュリティ脆弱性の修正の一覧については、Security vulnerability (CVE) listを参照してください。

Open Liberty 25.0.0.4を今すぐ入手

Maven, Gradle, Docker, およびダウンロード可能なアーカイブのリンクから入手できます。

すべてのブログ投稿を表示