Java 近期新闻：外部函数和内存 API、OpenJDK JEP、Apache Tomcat CVE

在结束了评审之后，JEP 454（外部函数和内存 API）从 Proposed to Target 进入到了 Targeted（JDK 22）状态。该 JEP 建议在经历了两轮孵化和三轮预览之后确定这个特性：在 JDK 17 中交付的 JEP 412（外部函数和内存 API(孵化器)）、在 JDK 18 中交付的 JEP 419（外部函数和内存 API(第二轮孵化器)）、在 JDK 19 中交付的 JEP 424（外部函数和内存 API(预览)）、在 JDK 20 中交付的 JEP 434（外部函数和内存 API(第二次预览)），以及在 JDK 21 GA 版本中交付的 JEP 442（外部函数和内存 API(第三次预览)）。自上一个版本以来的改进包括：新的 Enable-Native-Access manifest 属性，允许可执行 JAR 包中的代码调用受限制的方法而无需使用——Enable-Native-Access 标志；允许客户端通过编程的方式构建 C 函数描述符，避免使用特定于平台的常量；改进了对本地内存中可变长度数组的支持；支持多字符集本地字符串。InfoQ 将会继续跟进报道。

JEP 460（Vector API(第七轮孵化器)）已从 JEP Draft 8315945 进入到 Candidate 状态。这个 JEP 整合了针对前六轮孵化的增强：在 JDK 21 GA 版本中交付的 JEP 448（ Vector API (第六轮孵化器)）在 JDK 20 中交付的 JEP 438（Vector API (第五轮孵化器)）、在 JDK 19 中交付的 JEP 426（Vector API (第四轮孵化器)、在 JDK 18 中交付的 JEP 417（Vector API (第三轮孵化器)、在 JDK 17 中交付的 JEP 414（Vector API (第二轮孵化器)）、在 JDK 16 中作为孵化器模块发布的 JEP 338（Vector API (孵化器)）。JEP 448 最重要的变化包括对 JVM 编译器接口 (JVMCI) 的增强，以支持 Vector API 的值。

JEP Draft 8315398（隐式声明类和实例主方法 (第二次预览)），即之前的未命名类和实例主方法 (预览)、灵活主方法和匿名主类 (预览) 和隐式类和增强的主方法 (预览)，根据前一轮预览，即 JEP 445（未命名类和实例主方法 (预览)）的反馈进行了增强。这个 JEP 建议“让学生可以在不需要理解太多语言特性的前提下编写他们的第一个程序。”2022 年 9 月，Oracle 的 Java 语言架构师 Brian Goetz 为此撰写了“Paving the on-ramp”一文。Oracle 技术委员会成员 Gavin Bierman 已发布规范文档初稿，供 Java 社区评审。关于 JEP 445 的更多细节可以在 InfoQ 的其他报道中找到。

Oracle 技术委员会成员 Gavin Bierman 对 JEP 447（super() 的前置语句 (预览)）的规范文档进行了更新。JEP 447 提议允许在构造函数的 this() 或 super() 之前出现不引用正在创建的实例的语句，并保留构造函数现有的安全性和初始化保证。

JDK 22 早期访问构建版本的 Build 19 提供了针对 Build 18 的更新，其中包括对各种问题的修复。关于该构建版本的更多细节可以在版本说明中找到。

对于 JDK 22，开发人员可以向 Java Bug Database 报告错误。

Spring Framework 6.1.0 的第一个候选发行版包含了一些问题修复、文档改进、依赖项升级和新特性，例如：为改进对 CRaC 的支持，将ReactorResourceFactory类从 org.springframework.http.client 包移到了 org.springframework.http.client 包中；允许为RestClient接口实现ClientRequestObservationConvention接口；在ApplicationListenerMethodAdapter类中公开 shouldHandle(ApplicationEvent) 方法，用于检查监听器是否对某个事件感兴趣。关于该版本的更多细节可以在版本说明中找到。

类似的，Spring Framework 6.0.13 已发布，其中包含了问题修复、文档改进、依赖项升级和新特性，如：改进了针对 Spring 表达式语言中因重复文本大小计算而导致的溢出的诊断；为注解了@Configuration 的 CGLIB 代理类重新引入FastClass 类。关于该版本的更多细节可以在版本说明中找到。

Spring Data 2023.1.0 第一个候选版本（代号为 Vaughn）的特新包括：支持 JDK 21；通过配置 JavaExecutor 接口来使用虚拟线程；支持 Kotlin 值类；对 CRaC 优化进行了初步探索；文档迁移到了 Antora。关于该版本的更多细节可以在版本说明中找到。

Spring Data 各个服务版本（2023.0.5、2022.0.11 和 2021.2.17）的依赖子项目升级包括：Spring Data Commons 3.1.5、3.0.11 和 2.7.17；Spring Data MongoDB 4.1.5、4.0.11 和 3.4.17；Spring Data Elasticsearch 5.1.5、5.0.11 和 4.4.17；Spring Data Neo4j 7.1.7、7.0.11 和 6.3.17。这些版本分别包含在即将发布的 Spring Boot 3.1.5、3.0.12 和 2.7.17 中。

Spring Shell 3.2.0 第二个里程碑版本提供了实验性的新终端 UI 和其他值得注意的变化，如：新的ViewCommand类，为View接口提供更高级别的指令；改进了ButtonView和DialogView类的实现。关于该版本的更多细节，包括新终端 UI 的演示，可以在版本说明中找到。

Micronaut 基金会发布了 Micronaut 框架的 4.1.4 版本，包含 Micronaut Core 4.1.9 和模块更新：Micronaut Serialization、 Micronaut AWS、Micronaut Email、Micronaut Data、Micronaut Maven Plugin、Micronaut SQL Libraries 和 Micronaut Discovery Client。关于该版本的更多细节可以在版本说明中找到。

Red Hat 发布了 Quarkus 的 3.4.3 版本，主要解决了 CVE-2023-44487，一个与 Tomcat HTTP/2 实现有关的问题，容易受到快速重置攻击，进而出现拒绝服务，通常表现为 OutOfMemoryError。除此之外，还有文档方面的改进和一些值得注意的修复，如：调用响应式 REST 客户端被挂起（因接收到导致资源无法被释放的无效块响应）；被转换为原生构建的 Quarkus 应用程序（使用了 Picocli 和 JAX-RS）消费 SSE 时抛出 ClassNotFoundException；允许 MicroProfile@ClientHeaderParam注解覆盖“User-Agent”标头参数。关于此版本的更多细节可以在 changelog 中找到。

Micrometer Metrics1.12.0-RC1、1.11.5、1.10.12 和 1.9.16 分别带来了依赖项升级和错误修复：在运行 Spring Boot 应用程序时ObservationRegistry.NOOP接口的实例为空；调用定义在Observation 接口内部类 Context 的 computeIfAbsent() 方法时抛出ConcurrentModificationException 。版本 1.12.0-RC1 中的新特性包括：将 Jakarta Messaging 规范的增强移到新模块 micrometer-jakarta9；Wavefront 集成支持 VMware CSP 认证系统。关于这些版本的更多细节可以在 1.12.0-RC1、1.11.5、1.10.12 和 1.9.16 的版本说明中找到。

类似的，Micrometer Tracing 的 1.2.0-RC1、1.1.6 和 1.0.11 版本也包含了依赖项升级和错误修复，如：在 Gradle 构建中应用更广泛的 Zipkin Reporter 来解决依赖问题；在ObservationAwareSpanThreadLocalAccessor类中设置了作用域时可以进行覆盖。1.2.0-RC1 版本的新特性包括：为改进框架的配置，在匹配TimeAspect类时将SpanTagAnnotationHandler类定义为可选的；io.opentelemetry:opentelemetry-semconv 改为 io.opentelemetry.semconv:opentelemetry-semconv，因为 OpenTelemetry 已经弃用了旧的语义约定模块，使用了一个具有不同 Maven 坐标的新模块。关于这些版本的更多细节可以在 1.2.0-RC1、1.1.6 和 1.0.11 的版本说明中找到。

Apache Tomcat 团队披露了四个影响版本 11.0.0-M1 至 11.0.0-M11、10.1.0-M1 至 10.1.13、9.0.0-M1 至 9.0.80 和 8.5.0 至 8.5.93 的 CVE。

• CVE-2023-42795，在回收各种内部对象（包括请求和响应）时出现的信息暴露问题，即一些错误可能导致 Tomcat 跳过回收过程的某些部分，旧对象在被下一个请求 / 响应重用之前发生信息泄漏。

• CVE-2023-45648，攻击者在反向代理后面通过发送特制的无效标头促使 Tomcat 将单个请求视为多个请求，从而导致请求夹带。

• 之前提到的 CVE-2023-44487。

• CVE-2023-42794，Commons FileUpload 包的 Tomcat 内部分支包含了一个未发布的针对 Windows 的重构，如果一个 Web 应用程序为上传的文件打开了一个流，但未能关闭流就会出现该漏洞。由于磁盘已满，该文件将永远不会从磁盘上删除，从而可能导致拒绝服务。该 CVE 仅影响 Tomcat 9.0.70 至 9.0.80 和 8.5.85 至 8.5.93。

这些受影响版本的用户需要采取以下缓解措施之一：至少升级到 Apache Tomcat 的版本 11.0.0-M12、10.1.14、9.0.81 和 8.5.94。

Apache Kafka 3.6.0 版本包含了错误修复、改进和新功能，例如：支持 Kafka Raft (KRaft) 的委托令牌；将 Kafka 集群从 ZooKeeper 元数据系统迁移到 KRaft 元数据系统的能力；将分级存储作为早期访问功能。关于该版本的更多细节可以在版本说明中找到。

Apache Camel 4.1.0 版本包含了错误修复、依赖项升级和新特性，如：捕获启动事件并按照人类可读的格式报告时间；新的 Camel Thymeleaf 模板组件，作为对现有 Camel Freemarker 和 Camel Velocity 组件的补充；一个新的命令，按照 CycloneDX 格式为给定的 JBang 项目生成 SBOM。关于该版本的更多细节可以在版本说明中找到。

Eclipse Vert.x 4.4.6 版本包含了依赖项升级和一些值得注意的变更，如：升级到 Netty 4.1.100.Final，解决了上述的 CVE-2023-44487；修复Money 类，弃用 Money(long,int) 构造函数，转而使用 Money(Number)；不再支持 curl 命令中的空 Host 标头，这个空标头会抛出 NullPointerException。关于该版本的更多细节可以在版本说明和弃用和重大变更说明中找到。

Reactor 2023.0.0 的第一个候选版本包含对 reactor-core 3.6.0-RC1、reactor-pool 1.0.3 和 reactor-netty 1.1.12 的依赖项升级。2023.0.0-RC1 版本也进行了调整，其中 reactor-kafka 1.3.21、 reactor-addons 3.5.1 和 reactor-kotlin-extensions 1.2.2 保持不变。关于该版本的更多细节可以在变更日志中找到。

类似的，Reactor 2022.0.12，第十二个维护版本包含了对 reactor-core 3.5.11、reactor-netty 1.1.12 和 reactor-pool 1.0.3 的依赖项升级。2022.0.11 版本也进行了调整，其中 reactor-kafka 1.3.21、reactor-addons 3.5.1 和 reactor-kotlin-extensions 1.2.2 保持不变。关于该版本的更多细节可以在变更日志中找到。

JHipster Lite0.44.0 版本已经发布，其中包含问题修复、依赖项升级和新功能（增强），如：在 JDK 21 的某些构建版本中启用；修复了在KafkaPropertiesTest 类中使用 Java HashMap类的问题；为改善导航体验，在横向屏幕上显示小地图。关于该版本的更多细节可以在版本说明中找到。

Piranha 23.10.0 版本包含了一些显著变化，如：依赖项和插件升级；修复了PiranhaJarContainer 类中的代码坏味道；修复漏洞、技术债务、安全和可靠性问题。关于该版本的更多细节可以在其官方文档和问题跟踪器中找到。

Improving（一家提供培训、咨询、招聘和项目服务的公司）首席软件咨询顾问 Jim Bethancourt 宣布发布 RefactorFirst 0.5.0-M1。该版本包含了许多依赖项升级和新特性，如：新的 RefactorFirst 命令行；将 HTML、CSV 和 JSON 报告重构成各自的模块。值得注意的是，RefactorFirst 现在需要 JDK 11 来解决 CVE-2023-4759，这是 JGit 6.6.0 以下版本存在的一个漏洞，攻击者可以使用特制 git 存储库中的符号链接将文件写入工作树之外的位置。因此，该项目也被移到 GitHub 上新创建的 RefactorFirst 目录中。关于该版本的更多细节可以在版本说明中找到。

摩洛哥 Devoxx 大会在 Hilton Taghazout Bay Beach Resort & Spa 举办，来自 Java 社区的演讲者发表了主题演讲，包括：架构、数据与人工智能、开发实践、DevOps 与云计算，以及安全。