4、芯-SVC / javax.management

为开箱即用的JMX代理散列密码

jmxremote.passwordJMX代理现在正在使用SHA3-512散列覆盖文件中的明文密码。该角色的每一行都遵循以下格式：

role_name W hashedPassword

Where:

role_name是任何不包含空格或制表符的字符串。

W =空格或制表符

散列密码的格式如下：

hashedPassword = base64_encoded_64_byte_salt W base64_encoded_hash W hash_algorithm

Where:

base64_encoded_64_byte_salt = 64字节随机盐

base64_encoded_hash = Hash_algorithm（密码+盐）

W =空格或制表符

hash_algorithm =使用格式https://docs.oracle.com/javase/9​​/docs/specs/security/standard-names.htmlmessagedigest-algorithms指定的算法字符串。这是个可选的选项。如果未指定，则认为SHA3-512是算法字符串。

如果密码是明确的，如果满足以下所有条件，它们将被哈希覆盖：

com.sun.management.jmxremote.password.toHashes属性在management.properties文件中设置为true 。

密码文件是可写的。

如果配置了安全管理器，则系统安全策略允许写入密码文件。

为了更改角色的密码，请将散列的密码条目替换为新的明文密码或新的散列密码。如果新密码处于清除状态，则在进行新的登录尝试时将用其哈希代替。

给定角色在此文件中至少应有一个条目。如果某个角色没有条目，则无权访问。如果为同一个角色名称找到多个条目，则使用最后一个条目。

用户生成的哈希密码文件也可以用来代替明文密码文件。如果由用户生成，则散列密码必须遵循上面指定的格式。

该文件必须只能由所有者访问，否则程序将退出并出现错误。

为了防止无意中编辑生产环境中的密码文件，建议部署只读哈希密码文件。可以通过运行JMX代理预先生成清除密码的散列条目。

建议在代理运行时不要编辑密码文件。如果客户端连接在外部修改文件的同时触发密码文件散列，则编辑可能会丢失。文件的完整性是有保证的，但是在代理读取文件和写回文件之间的短时间内对文件进行的任何外部编辑可能会丢失。

5、热点/ GC

G1的JEP 307并行完整GC

通过完全GC并行改善G1最坏情况下的延迟。G1垃圾收集器旨在避免完整收集，但是当并发收集无法快速回收内存时，会发生回退完整GC。完整的GC for G1的旧版本使用单线程标记扫描 - 紧凑算法。使用JEP 307，完整的GC已经并行化，现在使用与年轻和混合集合相同数量的并行工作线程。

6、安全库/ java.security

JEP 319根证书

在JDK中提供一组默认的根证书颁发机构（CA）证书。

cacerts用于Linux x64的OpenJDK 9二进制文件的密钥库已由JEP 319：根证书 [1] 填充，并带有由Oracle的Java SE根CA程序的CA颁发的一组根证书。这解决了cacerts用于Linux x64的OpenJDK 9二进制文件中的空密钥库问题。cacerts由于未安装受信任的根证书颁发机构，空的密钥库阻止了建立TLS连接。作为OpenJDK 9二进制文件的解决方法，用户必须将javax.net.ssl.trustStore系统属性设置为使用不同的密钥库。

7、安全库/ javax.net.ssl中

TLS会话哈希和扩展主秘密扩展支持

已为JDK JSSE提供程序中的TLS会话散列和扩展主密钥扩展（RFC 7627）添加了支持。请注意，一般来说，如果未启用端点标识并且以前的握手是会话恢复缩略初始握手，则服务器证书更改会受到限制，除非两个证书所代表的身份可以视为相同。但是，如果启用或协商扩展，则服务器证书更改限制不是必需的，因此将被相应地丢弃。如果出现兼容性问题，应用程序可能会通过将系统属性设置为JDK jdk.tls.useExtendedMasterSecret来禁用此扩展的协商false。通过将系统属性设置jdk.tls.allowLegacyResumption为false，当会话散列和扩展主密钥扩展未协商时，应用程序可拒绝简短握手。通过将系统属性设置jdk.tls.allowLegacyMasterSecret为false，应用程序可拒绝不支持会话散列和扩展主密钥扩展的连接。