OpenJDK可以通過秘密組來解決Java安全漏洞

admin

OpenJDK可以通過秘密組來解決Java安全漏洞


私人小組將處理目前無協(xié)調(diào)處理的代碼漏洞，或者根本不處理這些漏洞

為了鞏固Java的安全性，正在考慮在正常的開源社區(qū)進(jìn)程之外運(yùn)行的私有組。

提出的OpenJDK（Java開發(fā)工具包）漏洞組將提供一個(gè)安全的私人論壇，其中受信任的社區(qū)成員接收代碼庫漏洞的報(bào)告，然后查看和修復(fù)它們。協(xié)調(diào)解決問題的辦法也將成為小組任務(wù)的一部分。 （Java SE是Java的標(biāo)準(zhǔn)版，已經(jīng)在OpenJDK的支持下開發(fā)。）

漏洞小組和Oracle的內(nèi)部安全小組將共同合作，有時(shí)可能需要與外部安全機(jī)構(gòu)合作。

該小組在若干方面是不尋常的，因此需要豁免OpenJDK附則。由于其工作的敏感性，該組織的成員選擇性將會(huì)更加嚴(yán)格，因此將會(huì)有嚴(yán)格的溝通政策，成員或雇主也需要簽署不公開和許可協(xié)議，Mark Reinhold先生甲骨文的Java平臺(tái)組。

“這些要求嚴(yán)格來說違反了OpenJDK附則，”Reinhold說。 “然而，理事會(huì)已經(jīng)討論過這個(gè)問題，我期望董事會(huì)會(huì)批準(zhǔn)這個(gè)特殊要求來組建這個(gè)集團(tuán)�！�

如果Java安全組得到批準(zhǔn)，Oracle內(nèi)部Java漏洞團(tuán)隊(duì)負(fù)責(zé)人安德魯·格羅將會(huì)領(lǐng)導(dǎo)它，監(jiān)控軟件。

目前，OpenJDK社區(qū)的安全漏洞沒有有組織的討論�；�于OpenJDK代碼庫（如IBM，Red Hat和SAP）運(yùn)送二進(jìn)制產(chǎn)品的非Oracle組織主要通過與Oracle的私有通信偶爾提供幫助來處理自身的安全漏洞。確實(shí)發(fā)生的大多數(shù)私人交流集中在分發(fā)修復(fù)而不是開發(fā)它們。該建議表示，目前的這種設(shè)置是無效的。

Java多年來一直存在安全性問題，Oracle在2010年從Sun Microsystems接管Java后解決了幾個(gè)問題。例如，Oracle去年決定從Java瀏覽器插件中移除，這導(dǎo)致了安全問題在平臺(tái)上, 灰鴿子遠(yuǎn)程控制軟件, 遠(yuǎn)程控制。