こんにちは。おおたにです。

今回は2023年～2024年あたりのLiferay DXP 四半期毎リリースで追加された新機能のうち、セキュリティ関連のものと開発者向けツールについて紹介します。実際には多数の新機能・機能改善が行われていますが、ここではそのうちのいくつかをピックアップして紹介します。

組織管理画面での組織構造のグラフィカルな表示

組織管理画面にチャートビューが実装され、組織構造を見た目で直感的に把握できるようになりました。従来の組織管理画面も使えるので、メンテナンス作業の内容に適したものを選択することができます。

監査機能でのユーザログイン失敗の区別

監査ログ機能（アプリケーションメニュー > コントロールパネル > 監査）で、ログイン失敗の理由を区別できるようになりました。ユーザが存在しない場合は「LOGIN_DNE」、存在するユーザのパスワード間違いの場合は「LOGIN_FAILURE」が記録されます。

監査データの絞り込みエクスポート機能

監査ログ機能で、ユーザやサイト(グループ)で絞り込み表示したり、絞り込んだ監査ログをエクスポートすることができるようになりました。

サーバ管理画面の操作へのCAPTCHAの追加

サーバ管理画面ではGCやキャッシュクリア、ログ出力設定やメール連携、スクリプト実行など強力なサーバ管理操作を実行できるため、そのアクション実行時にCAPTCHAの検証が必須となりました。

ワークフローやオブジェクトのアクション/バリデーションでのスクリプト記述の禁止

ワークフローやオブジェクトのアクション/バリデーションでGroovyやJavaのスクリプトを記述することができますが、デフォルトでは記述できない設定になりました。以前のようにスクリプトを利用する場合は、 システム設定 > スクリプト管理 で作成許可をONにする必要があります。

Content-Security-Policy (CSP)

ベータ機能ですが、XSS攻撃を防ぐためのContent-Security-Policyヘッダの内容をインスタンス毎、サイト毎に設定できるようになりました。利用するためには、機能フラグの コンテンツセキュリティポリシー(CSP) (LPS-134060) を有効にする必要があります。詳しくはこちらをご参照ください。

ユーティリティページを利用したCookieポリシー画面の作成

Cookie同意バナーを利用する場合に、そのプライバシーポリシーリンクから表示されるデフォルトのCookieポリシー画面をユーティリティページで作成することができます。なお、この機能はベータ機能のため、機能フラグの Analytics Cloud Cookie の管理 (LPD-10588) を有効にする必要があります。

また、明示的にCookie同意を行うモードに設定すると、ユーザが明示的に許可するまで当該Cookieがセットされず、Liferay Analytics Cloudでのトラッキングも行われません。

新しいバージョンの開発者向けツール

Liferay DXP 四半期毎のリリースに対応したLiferay WorkspaceおよびIDEツール（Liferay Developer Studio、Liferay Eclipse Plugin、Liferay IntelliJ Plugin）がリリースされました。Liferay Developer StudioはこれまでどおりLiferay Help Centerからダウンロードできますが、その他のツールはGitHubからダウンロードします。

今回の紹介は以上です。上記の他にも多数の機能追加/改善が加えられておりますので、是非最新のLiferay DXPをお試しください。