Azul Payara 2026年6月版发布亮点
2026年6月的发布周期推出了 Payara 7 系列的首个常规月度版本,并包含一个影响所有受支持分支的关键安全修复。Azul Payara 7.1.0 延续了于5月正式发布的 Jakarta EE 11 产品线,同时发布的还有 Azul Payara Community 7.2026.6、Azul Payara 6.39.0、Azul Payara 5.88.0 和 Azul Payara 4.1.2.191.56。
一个从 Payara 7 向下移植至 Payara 4 的安全修复贯穿了本周期所有版本。两个受支持的产品线(5.88.0 和 6.39.0)还携带了服务器“就绪”信号的行为变更,少数部署需要在升级前了解该变更。
一个关键安全修复,已修补至所有分支
所有五个版本均已修复管理控制台和 REST 管理界面中的 CSRF 和 SSRF 问题:Azul Payara Community 7.2026.6 以及 Azul Payara 7.1.0、6.39.0、5.88.0 和 4.1.2.191.55 系列分支。
将补丁覆盖整个受支持的生命周期(而不仅仅是最新主要版本)是长期使用 Azul 的客户所依赖的做法。Azul 是在 CISA 和 DHS 监督下注册的 CVE 编号机构(CNA),根据发布的月度计划,补丁会回溯移植到每个受支持的版本。您没有理由因为运行的主要版本系列而延迟升级。
Azul Payara 7.1.0:受支持的 Payara 7,正式发布后
Azul Payara 7.1.0 是自 Payara Server 7 和 Micro 7 正式发布以来,Payara 7 产品线上的首个月度受支持版本。它拥有最终的 Jakarta EE 11 认证,并附带 MicroProfile 6.1:Config、Metrics、Health、Fault Tolerance、JWT、OpenAPI、REST Client 和 Telemetry Tracing。
在本周期中,多个 Jakarta EE 11 组件达到了 GA 里程碑,脱离了 beta 和 alpha 版本:
- EclipseLink 5.0.0,从 5.0.0-B11 beta 升级而来。
- Jersey 4.0.2,Jakarta EE 11 REST 堆栈。
- HK2 4.0.1。
- Payara Security Connectors 4.0.0,从 4.0.0.Alpha3 升级而来。
Jakarta EE 11 的旗舰 API 新增功能 Jakarta Data 带来了两个值得关注的改进,适用于构建基于仓库的数据访问的团队。现在支持在仓库接口上使用方法级别的 @Transactional 覆盖,从而对每个方法的事务边界进行精细控制。性能修复还防止了运行时在每次 Jakarta Data HTTP 请求上解析方法名称。
错误修复
- 修复了 MicroProfile
/metrics端点返回重复指标的问题。 - 修复了
JSESSIONIDVERSION丢失的问题,该问题导致在宽松模式下无法检索会话。 - 修复了在 CDI Bean 中注入仓库时出现 WELD-001408 未满足依赖关系的问题。
- 修复了从管理控制台更改管理员密码不起作用的问题。
- 修复了由日志记录到控制台的访问日志选项触发的 Payara Micro NullPointerException。
改进
- 重新引入了对 Windows 的独立 OpenMQ 支持。
- 为
remove-library和list-libraries命令添加了warlibs支持。 - 为 Payara Micro 定义了
jakarta.security.jacc.policy.provider。 - 为 BOM 添加了备用的 Parsson 提供者。
- 当 OpenMQ 使用默认凭据运行时添加了警告。
组件升级
除了上述 GA 里程碑之外,7 系列将 Jackson BOM 升级到 2.22.0,Kotlin stdlib 升级到 2.4.0,Nimbus JOSE JWT 升级到 10.9.1,ASM 升级到 9.10.1,Woodstox 升级到 7.2.0,JAXB-Impl 升级到 4.0.9,以及其他。完整列表请参阅发布说明。
Azul Payara Community 7.2026.6
Community 7.2026.6 追踪 Payara 7 开发线,并包含与 Azul Payara 7.1.0 相同的安全修复、错误修复和组件升级。它还添加了一个社区驱动的项目:更新后的 SSH 提供者支持,包括 Windows 上的 SSH。
感谢社区贡献者 lprimak 对本版本中包含的会话检索修复(宽松模式下的 JSESSIONIDVERSION)的贡献。
需要注意的行为变更:服务器“就绪”信号时序
Azul Payara 5.88.0 和 6.39.0 更改了 fish.payara.ready-after-applications 系统属性的默认值。未定义的默认值从 false 变为 true,使 Payara 5 和 6 与 Payara 7 中已有的行为保持一致。用户无需执行任何操作;这已经是他们的默认设置 —— 对于 Azul Payara 和 Azul Payara Community 都是如此。
该属性控制服务器何时将自己标记为就绪。在新默认值下,服务器会在应用启动后配置并加载先前部署的应用程序后发出就绪信号。在之前的默认值下,服务器会在 server_startup 事件后发出就绪信号,但在启动后配置和应用程序加载之前。
大多数部署不会看到差异。此变更影响依赖就绪信号的工作,最明显的是启动后脚本,在某些配置中还影响事务恢复时序。对于 Payara 5,这恢复了在 5.47.0 之前最后一次出现的行为;对于 Payara 6,这是 6 系列中首次将默认值设为 true。
要保持之前的行为,请显式设置该属性:
fish.payara.ready-after-applications=false
该属性在 Payara Server 文档的“通用运行时管理”下的系统属性清单中有说明。
Azul Payara 6.39.0:Jakarta EE 10,持续更新
Azul Payara 6.39.0 继续为尚未迁移到 Payara 7 的客户提供 Jakarta EE 10 和 MicroProfile 6.1 产品线。除了跨周期的安全修复和上述就绪信号变更外,它还包含针对 MicroProfile 指标、会话检索以及日志到控制台 NullPointerException 的共享错误修复。
组件升级
Kotlin stdlib 升级到 2.3.21,Jackson BOM 升级到 2.21.3,ASM 升级到 9.10.1,JLine 升级到 3.30.13,StAX2 API 升级到 4.3.0,Grizzly NPN OSGi 升级到 2.0.1。
Azul Payara 5.88.0:Jakarta EE 8,持续更新
Azul Payara 5.88.0 保留了 javax.* 命名空间、Jakarta EE 8 和 MicroProfile 4.1,适用于尚未迁移到 jakarta.* 命名空间的长期运行的应用程序。它包含了安全修复、就绪信号行为变更以及 OpenMQ 默认凭据警告。
组件升级
Jackson BOM 升级到 2.21.3,ASM 升级到 9.10.1,JLine 升级到 3.30.13,SnakeYAML 升级到 2.6。
Azul Payara 4.1.2.191.56:遗留分支,仍在维护
Azul Payara 4.1.2.191.56 接收了跨周期的 CSRF 和 SSRF 安全修复,并升级了存在漏洞的 Hazelcast 版本,同时包含了 OpenMQ 默认凭据警告。4 分支上未签订生命周期支持合同的客户仍可访问现有二进制文件,但不会再收到新版本。
展望未来
Azul Payara 产品线现在涵盖 JDK(Azul Zulu 和 Azul Platform Prime)、完整应用服务器(Azul Payara Server)和云原生运行时(Azul Payara Micro),全部来自同一个供应商。Payara 7、6、5 和 4 将继续按照已发布的计划每月接收安全和错误修复版本,补丁会回溯移植到每个受支持的版本。
对于使用 Payara 5 或 6 的团队,本周期中 ready-after-applications 默认值的变更是唯一值得在升级前快速检查启动后脚本或事务恢复配置的内容。
升级与反馈
我们建议您在本周期升级到您版本的最新发布版。一个关键安全补丁已可用于所有受支持的分支。有关详细的升级说明,请参阅 Payara 文档。
要报告问题、贡献修复或跟踪 Payara 7 路线图,请访问 Payara GitHub 仓库。
对于商业支持,请联系您的 Azul 客户团队。
祝部署愉快!
该文章 2026年6月 Azul Payara 发布版有哪些新功能? 最初发布在 foojay 上。