• Spring Boot Dependencies 2.6.2へ更新

  • Spring Framework 5.3.13へ更新

  • Spring Security 5.6.0へ更新

• MyBatis 3.5.7へ更新

OAuth2について、Spring Security OAuth(org.springframework.security.oauth)からSpring Security(org.springframework.security)の機能を使用するように修正しました。これに伴い、共通ライブラリの依存関係からSpring Security OAuthを削除しました。
ガイドラインのSpring Security OAuthについての記載は、 Appendix に移動しています。

• 共通ライブラリのライブラリ及びMavenプラグインのバージョンを変更

  • [#1086] Update the version of maven-plugin

  • [#1121] Apply MyBatis 3.5.7

  • [#1122] Apply jakarta.inject-api 1.0.5

  • [#1123] Apply poi-ooxml 4.1.2

  • [#1124] Apply Google Guava 30.1.1-jre

  • [#1125] Apply Bouncy Castle Provider 1.69

  • [#1126] Apply commons-io 2.11.0

  • [#1134] Apply Dozer 6.5.2

  • [#1141] Apply Spring Boot 2.6.1

  • [#1149] Remove the dependency spring-security-oauth2

  • [#1153] Update commons-compress

• ブランクプロジェクトのライブラリ及びMavenプラグインのバージョンを変更

  • [single#498] [multi#548] Update the version of maven-plugin

  • [single#506] [multi#554] Apply dbunit 2.7.2

  • [single#512] [multi#560] Match postgresql and ojdbc versions with Spring Boot

• 脆弱性対応のため、ブランクプロジェクトのログフォーマットを変更

  • [single#516] [multi#564] Change the log format to address the vulnerability

TERASOLUNA Server Framework for Java (5.x)の共通ライブラリと依存ライブラリを更新してください。
以下に、この手順により更新される代表的な依存ライブラリを示します。

[手順が必要なケース]

この手順の適用は必須です。

共通ライブラリが管理するMavenプラグインの最新化を行いました。
バージョンの更新以外に下記の変更を行いました。

• プラグインのバージョンを指定するプロパティ名をgroupId.artifactId.pugin.versionに変更しました。

• cargo-maven2-pluginの名称をcargo-maven3-pluginに変更しました。

• mvn siteコマンド実行時にWarningが発生するため、reporting要素内にmaven-project-info-reports-pluginを追加しました。

アプリケーションで独自にプラグインのバージョンを指定していない場合、自動的にアップグレードされビルドの挙動に変更が生じる可能性があります。なお、本手順ではApache Mavenのバージョンを3.8.3で使用することを前提としています。

最新化されたプラグインのバージョンについては、以下を参照してください。

• 変更前 : terasoluna-gfw-parent 5.7.0.RELEASEのpom.xml

• 変更後 : terasoluna-gfw-parent 5.7.1.RELEASEのpom.xml

[手順が必要なケース]

以下のケースに当てはまる場合、ビルドの挙動を確認して必要に応じて修正を行ってください。

• アプリケーションで独自にプラグインのバージョンを指定していない

[修正方法]

プラグインごとに対応方法が異なるため、各公式リファレンスを参照して対応してください。

なお、プラグインを5.7.0までのバージョンに戻す場合はterasoluna-gfw-parentのpom.xmlに定義されたプロパティを上書きします。 例えば Maven Dependency Plugin のバージョンを戻す場合は以下のように定義します。

• pom.xml

ブランクプロジェクトのpomファイルで、 PostgreSQL JDBC Driver と Oracle JDBC のバージョン定義を更新しました。
これらのJDBCドライバーは上位互換性が保障されているため、最新バージョンを使用することを推奨します。

[手順が必要なケース]

この手順の適用は任意ですが、修正を行うことを推奨します。

ログフォーマットを変更することで、ログインジェクションへの対策を行ってください。
本手順を行うことで、ユーザの悪意のある入力等によって偽装されたログエントリが挿入された際、インデントを付加することによって 偽装されたログを判別できるようになります（ログエントリの挿入自体を防ぐことができるわけではありません）。

[手順が必要なケース]

この手順の適用は任意ですが、偽装されたログを判別しやすくなるため、本手順の実施を推奨します。

[修正方法]

プロジェクトのsrc/main/resources/logback.xmlを更新します。

logback.xmlの<pattern>に設定されているログフォーマットを以下のように変更します。

• %msgを%replace(%msg){'(\r\n|\r|\n)','$1  '}に変更

• 末尾に%replace(%replace(%xEx){'(\r\n|\r|\n)','$1  '}){'  $',''}%nopexを付与
  ※スタックトレースの書式が既に設定されている場合は、%xExの部分を設定済みの書式に読み替え、設定済みの書式と上記のフォーマットを入れ替える

下記の変更は、ブランクプロジェクトと同様、スタックトレースの書式設定がないコンソールログに半角スペース2文字のインデントを挿入する例です。 これを参考に、プロジェクトのログ出力設定に応じて適切なログフォーマットの変更を行ってください。

【変更前】

• logback.xml

【変更後】

• logback.xml

Spring Security OAuthが 2022年5月28日にEOL となるため、共通ライブラリの依存関係からSpring Security OAuthを削除しました。これにより、5.7.0まで開発ガイドラインで解説していた実装を変更する必要が生じます。

[手順が必要なケース]

この手順の適用は任意ですが、修正を行うことを推奨します。

プロジェクトのpom.xmlにSpring Security OAuthのライブラリを追加してください。

• pom.xml

Spring Security OAuth 2.5.1から、アクセストークンの有効期限切れの考慮に 30秒の遅延時間 が設定されました。これにより、Spring Security OAuth 2.5.0に比べ30秒早く有効期限が切れたと判断されるようになります。

[手順が必要なケース]

以下のケースに当てはまる場合、必要に応じて修正を行ってください。

• 開発ガイドラインのAppendixに準拠して、Spring Security OAuthを使用しクライアント及び認可サーバーの実装を行っている

• アクセストークンの有効期限が30秒未満または有効期限を厳密に求められる
  

[修正方法]

access_token_validity及びrefresh_token_validityの設定値を、30秒の遅延時間を考慮して設定してください。
例えば、60秒でアクセストークンの有効期限切れ、90秒でリフレッシュトークンの有効期限切れとしたい場合、認可サーバー側でアクセストークンの有効期限を90秒、リフレッシュトークンの有効期限を120秒に設定する必要があります。

Spring Data 2.5.0からいくつかのAPIが非推奨となりました。本フレームワークで利用するものは以下の通りです。

• JpaRepository#deleteInBatch(Iterable)メソッド

5.7.0.RELEASEまでの開発ガイドラインでは紹介していませんが、以下のAPIも非推奨となりました。

• JpaRepository#getOne(ID)メソッド

Spring Data 2.5.3の非推奨APIについては、以下を参照してください。

• Spring Data 2.5.3のDeprecated API

[手順が必要なケース]

以下のケースに当てはまる場合、必要に応じて修正を行ってください。

• 上記の非推奨APIを利用している

[修正方法]

Javadocを参考に、非推奨APIを代替APIに置き換えてください。

• JpaRepository#deleteInBatch(Iterable) メソッド

• JpaRepository#getOne(ID) メソッド

JpaRepository#getOne(ID)メソッドの代替APIである JpaRepository#getById(ID)メソッドの使用上の注意に関しては Spring Data提供のインタフェースを継承する を参照してください。

5.7.0までの開発ガイドラインにおける 10.1.2.2. 単体テストで利用するOSSライブラリのバージョン のWarningに記載していたApach POIについて、DBUnitのバージョンを2.7.1 以上に更新することで解消されることを確認しました。これにより、共通ライブラリで管理しているApache POIのバージョンを使用することが出来ます。ただし、DBUnit 2.7.1からApach POIの依存関係はoptionalとなったため、Apach POIを使用するためにはプロジェクトのpom.xmlに依存関係を追加する必要があります。

[手順が必要なケース]

以下のケースに当てはまる場合、必要に応じて修正を行ってください。

• Apach POIのバージョンを 開発ガイドラインの単体テスト に準拠して3.17で使用している

[修正方法]

pomファイルのプロパティを修正及び依存関係の追加を行ってください。

• pom.xml