つみかさね
S

Spring Boot v4.0.6

リリース日: 2026-04-24データソース: GitHub Releases, npm, endoflife.date
影響度スコア
32/ 100影響度: 中
Breaking Changes0/40
新機能0/25
バグ修正16/20
セキュリティ10/15
依存関係6/15

対応ガイド

medium|推奨バグ修正影響: 限定的

推奨アクション

  1. 1アクチュエータ利用環境でセキュリティ設定を確認
  2. 2テスト環境でv4.0.6へのアップデートを検証
  3. 3本番環境に適用し動作確認

影響対象

Spring Boot利用者アクチュエータ利用者Elasticsearch利用者

補足

  • -破壊的変更はありません。デフォルトセキュリティ設定の修正により動作が変わる可能性があるため検証を推奨します
Spring BootJavaセキュリティバグ修正アクチュエータ

この変更が意味すること

Spring Boot v4.0.6 がリリースされました。4.0 系の6回目のパッチリリースで、セキュリティ設定に関わるバグ修正を含む重要なアップデートです。

最も注意すべきは spring-boot-actuator-autoconfigure が存在し spring-boot-health がない場合にデフォルトセキュリティが正しく構成されない問題の修正です。アクチュエータを利用している環境では、意図しないセキュリティ設定になっている可能性があるため確認を推奨します。

その他にも Elasticsearch、Cassandra の自動設定修正、シンボリックリンク処理の改善、Remote DevTools の比較処理修正など、幅広いバグ修正が含まれています。同日に Spring Boot 3.5.14 もリリースされています。

主な変更点

デフォルトセキュリティ設定の不備修正

spring-boot-actuator-autoconfigure がクラスパスに存在し、spring-boot-health が存在しない場合にデフォルトのセキュリティ設定が誤って構成される問題が修正されました。本番環境のセキュリティに影響する可能性があるため、該当する構成を使っている方は早めに確認してください。

Issue: #50188

Elasticsearch Rest5Client 自動設定の修正

Elasticsearch の Rest5Client 自動設定が基盤の HTTP クライアントを誤って構成する問題が修正されました。Elasticsearch を Spring Boot の自動設定経由で利用している環境に影響します。

Issue: #50187

シンボリックリンクの処理修正

ApplicationPidFileWriterApplicationTemp の両方で、シンボリックリンクが正しく処理されない問題が修正されました。PID ファイルや一時ディレクトリにシンボリックリンクを使用している環境で影響があります。

Issue: #50185, #50178

RandomValuePropertySource のシークレット用途

RandomValuePropertySource がシークレットの生成に適さない点が修正されました。ランダム値をシークレットとして利用している場合は確認してください。

Issue: #50183

Cassandra 自動設定の修正

Cassandra の自動設定で CqlSessionBuilder が誤って構成される問題が修正されました。

Issue: #50180

Remote DevTools の比較処理修正

Remote DevTools が比較処理を誤って実行する問題が修正されました。

Issue: #50176

EOL / サポート状況

サイクル最新バージョンEOL
4.04.0.62026-12-31
3.53.5.142026-06-30 (残り67日)
3.43.4.132025-12-31 (EOL済)
3.33.3.132025-06-30 (EOL済)
3.23.2.122024-12-31 (EOL済)

Spring Boot 3.5 の EOL まで残り約2ヶ月です。3.5 系を利用中の方は 4.0 系へのマイグレーション計画を進めましょう。Spring Boot 4.1.0 は RC1 まで進行しており、次のマイナーリリースも近づいています。

開発者への影響

  1. アクチュエータ利用者: デフォルトセキュリティ設定の不備が修正されています。該当構成を使っている場合はセキュリティ設定を再確認してください
  2. Elasticsearch 利用者: Rest5Client の自動設定が修正されました。Elasticsearch 接続に問題があった場合は解消される可能性があります
  3. Cassandra 利用者: CqlSessionBuilder の自動設定が修正されています
  4. シンボリックリンクを利用している環境: PID ファイルや一時ディレクトリの処理が改善されました
  5. Remote DevTools 利用者: 比較処理の動作が修正されています

アップデート方法

<!-- Maven -->
<parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>4.0.6</version>
</parent>

// Gradle
plugins {
    id 'org.springframework.boot' version '4.0.6'
}

データソース: GitHub Releases API, endoflife.date AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

アップデート判断

早めのアップデートを推奨

アップデートすべき場合

  • アクチュエータを利用しておりセキュリティ設定に不安がある場合
  • Elasticsearch Rest5Clientの自動設定で問題が発生している場合
  • シンボリックリンクを利用したPIDファイルや一時ディレクトリを使っている場合

様子見でよい場合

  • アクチュエータを利用しておらず上記のバグに該当しない場合
  • v4.0.5で安定して動作している場合
← v4.0.5

EOL / サポート状況

Spring Boot 4.0ActiveEOL: 2026-12-31
Spring Boot 3.5ActiveEOL: 2026-06-30
Spring Boot 3.4End of LifeEOL: 2025-12-31
Spring Boot 3.3End of LifeEOL: 2025-06-30
Spring Boot 3.2End of LifeEOL: 2024-12-31
Xでシェアはてブ
データソース: GitHub Releases API, npm Registry, endoflife.date (MIT License), NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文リリースノートをご確認ください。