|
OpenJDK可以通過秘密組來解決Java安全漏洞
1.jpg (61.75 KB, 下載次數(shù): 715)
下載附件
監(jiān)控軟件
2017-8-28 09:37 上傳
私人小組將處理目前無協(xié)調(diào)處理的代碼漏洞,或者根本不處理這些漏洞
為了鞏固Java的安全性,正在考慮在正常的開源社區(qū)進程之外運行的私有組。
提出的OpenJDK(Java開發(fā)工具包)漏洞組將提供一個安全的私人論壇,其中受信任的社區(qū)成員接收代碼庫漏洞的報告,然后查看和修復它們。協(xié)調(diào)解決問題的辦法也將成為小組任務(wù)的一部分。 (Java SE是Java的標準版,已經(jīng)在OpenJDK的支持下開發(fā)。)
漏洞小組和Oracle的內(nèi)部安全小組將共同合作,有時可能需要與外部安全機構(gòu)合作。
該小組在若干方面是不尋常的,因此需要豁免OpenJDK附則。由于其工作的敏感性,該組織的成員選擇性將會更加嚴格,因此將會有嚴格的溝通政策,成員或雇主也需要簽署不公開和許可協(xié)議,Mark Reinhold先生甲骨文的Java平臺組。
“這些要求嚴格來說違反了OpenJDK附則,”Reinhold說。 “然而,理事會已經(jīng)討論過這個問題,我期望董事會會批準這個特殊要求來組建這個集團。”
如果Java安全組得到批準,Oracle內(nèi)部Java漏洞團隊負責人安德魯·格羅將會領(lǐng)導它,監(jiān)控軟件。
目前,OpenJDK社區(qū)的安全漏洞沒有有組織的討論;贠penJDK代碼庫(如IBM,Red Hat和SAP)運送二進制產(chǎn)品的非Oracle組織主要通過與Oracle的私有通信偶爾提供幫助來處理自身的安全漏洞。確實發(fā)生的大多數(shù)私人交流集中在分發(fā)修復而不是開發(fā)它們。該建議表示,目前的這種設(shè)置是無效的。
Java多年來一直存在安全性問題,Oracle在2010年從Sun Microsystems接管Java后解決了幾個問題。例如,Oracle去年決定從Java瀏覽器插件中移除,這導致了安全問題在平臺上, 灰鴿子遠程控制軟件, 遠程控制。 |
|