OpenJDK可以通過秘密組來解決Java安全漏洞

admin

OpenJDK可以通過秘密組來解決Java安全漏洞


私人小組將處理目前無協(xié)調(diào)處理的代碼漏洞，或者根本不處理這些漏洞

為了鞏固Java的安全性，正在考慮在正常的開源社區(qū)進程之外運行的私有組。

提出的OpenJDK（Java開發(fā)工具包）漏洞組將提供一個安全的私人論壇，其中受信任的社區(qū)成員接收代碼庫漏洞的報告，然后查看和修復它們。協(xié)調(diào)解決問題的辦法也將成為小組任務的一部分。 （Java SE是Java的標準版，已經(jīng)在OpenJDK的支持下開發(fā)。）

漏洞小組和Oracle的內(nèi)部安全小組將共同合作，有時可能需要與外部安全機構(gòu)合作。

該小組在若干方面是不尋常的，因此需要豁免OpenJDK附則。由于其工作的敏感性，該組織的成員選擇性將會更加嚴格，因此將會有嚴格的溝通政策，成員或雇主也需要簽署不公開和許可協(xié)議，Mark Reinhold先生甲骨文的Java平臺組。

“這些要求嚴格來說違反了OpenJDK附則，”Reinhold說。 “然而，理事會已經(jīng)討論過這個問題，我期望董事會會批準這個特殊要求來組建這個集團。”

如果Java安全組得到批準，Oracle內(nèi)部Java漏洞團隊負責人安德魯·格羅將會領導它，監(jiān)控軟件。

目前，OpenJDK社區(qū)的安全漏洞沒有有組織的討論�；�于OpenJDK代碼庫（如IBM，Red Hat和SAP）運送二進制產(chǎn)品的非Oracle組織主要通過與Oracle的私有通信偶爾提供幫助來處理自身的安全漏洞。確實發(fā)生的大多數(shù)私人交流集中在分發(fā)修復而不是開發(fā)它們。該建議表示，目前的這種設置是無效的。

Java多年來一直存在安全性問題，Oracle在2010年從Sun Microsystems接管Java后解決了幾個問題。例如，Oracle去年決定從Java瀏覽器插件中移除，這導致了安全問題在平臺上, 灰鴿子遠程控制軟件, 遠程控制。