新闻速读:Adoptium发布Temurin 25 LTS与运营白皮书
10月8日,Eclipse Adoptium项目在柏林发布Temurin 25 LTS正式版,与JDK 25同步提供企业级发行。此次发布强调“安全自动化”,发布《Temurin Operations Whitepaper》,介绍SBOM生成、签名验证、自动化更新机制。IBM、Red Hat、Canonical、Alibaba Cloud宣布将Temurin 25纳入其企业发行方案。Temurin 25提供x86_64、ARM64、RISC-V等多架构支持,并引入自动化漏洞响应。
技术与运维亮点
- SBOM与签名:Temurin 25提供CycloneDX格式SBOM,包含JDK模块、依赖、构建信息。发行包使用Sigstore Cosign签名,支持供应链验证。
- 更新自动化:新发布的
temurin-ops工具可自动检测JDK更新、拉取补丁、执行回归测试。与Ansible、Terraform、Kubernetes Operator集成,适合大规模部署。 - 安全加固:启用更严格的TLS配置,默认禁用弱加密套件;JFR、JMX连接默认启用认证与加密。
- JDK 25特性集成:包含Loom虚拟线程、结构化并发、泛型记录(预览)、类文件API等最新特性。
企业价值:发行版选择的战略意义
Temurin 25 LTS提供免费、社区驱动但企业级质量的发行版,帮助企业降低JDK许可成本。它的SBOM和自动化工具让监管行业(金融、电信、政府)更容易满足合规要求。随着供应链攻击增加,拥有透明构建流程与签名体系成为刚需。Temurin 25提供的多架构支持也便利云原生、边缘部署。
落地建议
- 建立JDK资产管理:使用
temurin-ops inventory扫描企业内JDK版本,确保统一升级路径。 - 自动化升级流水线:结合CI/CD,设定JDK升级验证流程,使用容器镜像与基础镜像同步更新。
- 安全治理:将SBOM接入安全平台,使用Sigstore验证发行包;对JFR/JMX进行凭证管理。
- 性能评估:在虚拟线程、结构化并发场景进行基准测试,确保业务适配。
生态协作:云平台与CI工具的配套更新
AWS、Azure、Google Cloud、阿里云等云厂商已公布Temurin 25支持计划,将在2025年底前提供托管运行时与托管Kubernetes节点镜像。GitHub Actions、GitLab CI、Jenkins社区推出预装Temurin 25的构建容器,并集成Cosign验证步骤,让企业在流水线上即可完成签名检查。容器镜像仓库(Red Hat UBI、Debian、Alpine)也同步发布新的基础镜像,强调SBOM可追溯。对于企业平台团队,这意味着可以将JDK版本升级纳入平台治理,而无需各项目单独维护。
结语:安全自动化成为Java发行版的新战场
Temurin 25 LTS标志着Java发行版竞争焦点从性能、兼容性拓展到安全运营。选择具有透明构建与自动化能力的发行版,将成为企业Java战略的关键。
