Java生态三连：JEP 527推动混合密钥交换，Mandrel 25与GlassFish 8 M13对齐Jakarta EE 11

焦点一：JEP 527将TLS带入后量子时代

OpenJDK官方于10月5日更新JEP 527，计划在JDK 26中为TLS 1.3实现三种混合密钥交换方案：X25519MLKEM768、SecP256r1MLKEM768、SecP384r1MLKEM1024。它们将量子抗性的ML-KEM算法与经典ECDHE结合，只要任一种算法未被攻破即可保障会话安全。JDK默认会将这些混合组置于首选列表，即无需修改现有javax.net.ssl代码就能获得升级。

JEP 527强调两个关键点：

1. 无感知升级：客户端和服务器只要支持TLS 1.3且未手工限定密钥组，就会自动使用混合方案。若业务因性能或兼容性需要调整，可通过jdk.tls.namedGroups系统属性或SSLParameters#setNamedGroups自定义。
2. 标准前置条件：相关IETF草案仍处于Draft阶段，JEP承诺将在草案晋升为RFC后再正式交付，避免“非标准实现”带来的互操作风险。

对金融、政务、工业互联网等领域而言，混合密钥交换可以对“现在窃取、未来解密”（Harvest Now, Decrypt Later）的攻击模型提供第一道防线，是规划后量子迁移路线图的起点。

焦点二：Mandrel 25.0.0.1-Final发布

Red Hat主导的GraalVM下游发行版Mandrel于9月29日推出25.0.0.1-Final版本，对齐GraalVM CE 25.0，并采用OpenJDK的jdk 25+36-LTS构建。Mandrel专注于Quarkus场景下的native-image能力，保留GraalVM的静态编译工具链，同时去除Truffle多语言栈以降低维护成本。

版本要点：

• 库与工具链：继承了GraalVM 25的编译优化，并与RHEL、Fedora的系统库对齐，避免在企业Linux环境中产生额外依赖。
• 构建依赖清单：官方列出了glibc-devel、freetype-devel、libstdc++-static等依赖包，提醒开发者在CI/CD镜像中提前准备。
• 生态兼容：尽管移除了Truffle，Mandrel仍保持与Quarkus、Micronaut、Spring Native等框架的native-image特性一致；与Oracle官方GraalVM的差异主要体现在JVMCI增强和Polyglot支持上。

对已经在生产环境中运行Quarkus原生服务的团队而言，Mandrel的新版本意味着可以在JDK 25时代继续享有长期支持，并提前验证GraalVM 25带来的编译性能提升。

焦点三：GlassFish 8.0.0-M13全面对齐Jakarta EE 11

Eclipse基金会在10月3日发布GlassFish 8.0.0-M13，这是Jakarta EE 11平台和Web Profile最终规范发布后的首个对齐版本。核心更新包括：

• 原生支持Jakarta Data 1.0：通过升级Eclipse JNoSQL 1.1.0，GlassFish首次内置Jakarta Data API，实现与多种数据库的统一访问模型。
• 全套API升级：整合Mojarra 4.1.4、Weld 6.0.3.Final、Hibernate Validator 9.0.1.Final、Helidon Config 3.2.12等依赖，确保通过Jakarta EE 11平台与Web Profile的最终TCK。
• 工具链优化：引入MicroProfile REST Client 4.0、健康检查等特性，同时重构asadmin脚本、改进日志与进程管理，提升运维体验。
• 弃用与提醒：JDK 17构建不再提供，仅供TCK测试使用；生产部署须基于JDK 21。部分内部API调整可能影响依赖非公开接口的工具，需要提前验证。

对于正在计划升级Jakarta EE 11的应用服务器用户而言，GlassFish 8 M13提供了参考实现的技术锚点，也为OmniFish、Payara等商业发行版的跟进奠定基础。

JDK 26时间表与生态节奏

OpenJDK在10月1日公布的JDK 26项目页显示：

• 关键里程碑：2025/12/04进入Rampdown Phase One、2026/01/15进入Rampdown Phase Two、2026/02/05发布首个RC、2026/02/19发布最终RC，计划于2026/03/17正式GA。
• 已锁定JEP：目前包含JEP 504移除Applet API、JEP 517为HTTP Client带来HTTP/3、JEP 522优化G1 GC的同步开销。结合JEP 527，可见JDK 26在“现代化HTTP”“GC性能”“安全基建”三大方向并行推进。

企业应据此安排长期支持版本的升级窗口，并规划CI/CD、依赖库对JDK 26的兼容性验证。

对企业与开发团队的建议

1. 后量子安全优先级提升：安全团队应与应用负责人协作，梳理所有基于Java的TLS链路，评估混合密钥交换上线后的性能影响，制定分阶段灰度策略。
2. 原生镜像栈更新：正在使用Mandrel或GraalVM构建原生服务的团队，需要验证构建镜像、CI流水线对JDK 25+的支持，并关注下游框架对新版本的兼容声明。
3. Jakarta EE迁移准备：对于运行在旧版本Java EE或Jakarta EE 9/10的系统，建议利用GlassFish 8 M13进行兼容性测试，尤其关注Jakarta Data、MicroProfile改动对持久层与REST客户端的影响。
4. 生态监控：持续关注JDK 26中正在审议的其他JEP（如结构化并发、向量API后续迭代），提前评估对业务、工具链的潜在价值。

Java生态在安全、原生部署、企业服务三大维度同步发力，意味着“后量子”“云原生”“Jakarta EE 11”将成为未来两年Java路线图的关键词。越早构建跨部门的技术评估与升级机制，越能在即将到来的版本更迭中把握主动。