Red Hat build of OpenJDK 17.0.12 发行注记

红帽在其产品中支持所选的 Red Hat build of OpenJDK 主版本。为了实现一致性，这些版本与指定为长期支持 (LTS) 的 Oracle JDK 版本类似。

自首次推出该版本时，红帽构建的 OpenJDK 的主版本将最少提供六年。如需更多信息，请参阅 OpenJDK 生命周期和支持政策

Red Hat build of OpenJDK 在 Red Hat Enterprise Linux 中包含了来自 OpenJDK 上游发行版的许多结构更改。红帽构建的 OpenJDK 版本尝试尽快遵循 Red Hat Enterprise Linux 更新。

以下列表详细介绍了红帽构建的 OpenJDK 17 更改：

从 2024 年 10 月开始，红帽计划引入一些作为 Windows Server 平台构建 OpenJDK 版本的一部分分发的文件的命名更改。

这些文件命名更改将影响红帽为 OpenJDK 版本 8、11 和 17 的 JDK、JRE 和 debuginfo 软件包提供的 .zip 归档和 .msi 安装程序。

这个变化的目的是采用一个通用命名惯例，它在红帽支持的所有 OpenJDK 版本中保持一致。红帽构建的 OpenJDK 版本 8、11 和 17 将与红帽构建的 OpenJDK 21 所用命名约定保持一致。这意味着红帽构建的 OpenJDK 21 不需要任何命名更改。

这些计划的更改不会影响任何红帽构建的 OpenJDK 版本的 Linux 可移植构建的文件。

Red Hat build of OpenJDK 17.0.12 是红帽计划对 Windows 工件使用旧命名约定的最后一个版本。以下列表提供了计划命名更改对将来的 OpenJDK 17 版本如何影响每个文件的示例：

最新的 Red Hat build of OpenJDK 17 发行版本可能包括新功能。另外，最新版本可能会增强、弃用或删除来自以前红帽构建的 OpenJDK 17 版本的功能。

Red Hat build of OpenJDK 的改进

Red Hat build of OpenJDK 17 为最初在以前 OpenJDK 版本中创建的功能提供改进。

仅 POSTOCSP 请求的回退选项

JDK-8175903 是红帽构建的 OpenJDK 17 中引入的，增加了对将 HTTP GET 方法用于在线证书状态协议(OCSP)请求的支持。此功能为小请求无条件地启用。

Internet Engineering Task Force (IETF) RFC 5019 和 RFC 6960 明确允许，并建议使用 HTTP GET 请求。但是，有些 OCSP 响应器无法在这些类型的请求中正常工作。

Red Hat build of OpenJDK 17.0.12 引入了 JDK 系统属性 com.sun.security.ocsp.useget。默认情况下，此属性设置为 true，它会保留对小请求使用 GET 请求的当前行为。如果此属性设置为 false，则只使用 HTTP POST 请求，无论大小如何。

请参阅 JDK-8328638 (JDK Bug System)。

DTLS 1.0 默认禁用

OpenJDK 9 引入了对 Datagram Transport Layer Security (DTLS)协议(JEP-219)版本 1.2 的支持。不再建议使用基于 TLS 1.1 的 DTLSv1.0，因为此协议被视为弱且现代标准不安全。在 OpenJDK 17.0.12 中，如果您尝试使用 DTLSv1.0，则 JDK 会默认抛出一个 SSLHandshakeException。

如果要继续使用 DTLSv1.0，可以通过修改 java.security. properties 系统属性或从 jdk.tls.disabledAlgorithms 系统属性中删除 DTLSv1.0。

请参阅 JDK-8256660 (JDK Bug System)。

RPATH 优先于 RUNPATH 用于内部 JDK 二进制文件中的 $ORIGIN 运行时搜索路径

JDK 中的原生可执行文件和库使用嵌入式运行时搜索路径(rpaths)来定位所需的内部 JDK 原生库。在 Linux 系统上，二进制文件可以使用 DT_RPATH 或 DT_RUNPATH 指定这些搜索路径。

在以前的版本中，使用的运行时搜索路径类型是基于动态链接器的默认搜索路径。在 OpenJDK 17.0.12 中，为确保使用 DT_RPATH，--disable-new-dtags 选项被明确传递给链接器。

请参阅 JDK-8326891 (JDK Bug System)。

TrimNativeHeapInterval 选项作为产品交换机提供

红帽构建的 OpenJDK 17.0.12 提供了 -XX:TrimNativeHeapInterval=ms 选项作为官方产品切换。此功能增强使 JVM 可以在支持的平台上指定间隔（以毫秒为单位）修剪原生堆。目前，这个增强唯一支持的平台是使用 glibc 的 Linux。

您可以通过设置 TrimNativeHeapInterval=0 来禁用修剪。修剪功能默认为禁用。

请参阅 JDK-8325496 (JDK Bug System)。

-XshowSettings launcher 选项包含一个 安全 类别

在 OpenJDK 17.0.12 中，-XshowSettings launcher 选项包含一个安全类别，允许传递以下参数：

如果应用程序类路径或模块路径中包含第三方安全供应商，且在 java.security 文件中配置，则输出会包括这些第三方安全提供程序。

请参阅 JDK-8281658 (JDK Bug System)。

添加了 GlobalSign R46 和 E46 root 证书

在 OpenJDK 17.0.12 中，cacerts truststore 包括两个 GlobalSign TLS root 证书：

请参阅 JDK-8316138 (JDK Bug System)。

修复了在代码 根扫描 阶段因为不平衡迭代而暂停长时间垃圾回收的修复

垃圾回收的代码 根扫描 阶段查找对编译的代码中的 Java 对象的引用。为加快这个过程，会在包含 Java 堆引用的编译代码的每个区域中维护缓存。

假设一组引用非常小，以前的发行版本使用每个区域的单一线程来迭代这些引用。这种单线程方法引入了一个可扩展性瓶颈，如果特定区域包含大量参考，则性能可能会降低。

在 Red Hat build of OpenJDK 17.0.12 中，会使用多个线程，这有助于删除任何可伸缩瓶颈。

请参阅 JDK-8315503 (JDK Bug System)。

在 Windows 上更改 AWT 无头模式检测的行为

在早期版本中，除非 java.awt.headless 系统属性被设置为 true，否则在 Windows Server 平台上调用 java.awt.GraphicsEnvironment.isHeadless （） 返回 false。

从 OpenJDK 17.0.12 开始，除非 java.awt.headless 属性明确设置为 false，且当前系统上没有检测到有效的 monitor，则调用 java.awt.GraphicsEnvironment.isHeadless （） 会在 Windows Server 平台上返回 true。可能无法检测到有效的 monitor，例如，如果会话是由服务启动还是 PowerShell 远程启动。

这个行为的变化意味着在这些条件下运行的应用程序（以前预期会在头环境中运行），现在可能会遇到 Abstract Window Toolkit (AWT)操作所引发的非 头例外 错误。

您可以通过将 java.awt.headless 属性设置为 false 来重新恢复旧行为。但是，如果应用程序以 headful 模式运行，且有效的显示不可用，则这些应用程序可能会继续遇到意外问题。

请参阅 JDK-8185862 (JDK Bug System)。

以下公告包括了记录程序错误修复和 CVE 修复：

更新于 2024-07-23