OpenJDK可以通過秘密組來解決Java安全漏洞

admin

OpenJDK可以通過秘密組來解決Java安全漏洞


私人小組將處理目前無協調處理的代碼漏洞，或者根本不處理這些漏洞

為了鞏固Java的安全性，正在考慮在正常的開源社區進程之外運行的私有組。

提出的OpenJDK（Java開發工具包）漏洞組將提供一個安全的私人論壇，其中受信任的社區成員接收代碼庫漏洞的報告，然后查看和修復它們。協調解決問題的辦法也將成為小組任務的一部分。 （Java SE是Java的標準版，已經在OpenJDK的支持下開發。）

漏洞小組和Oracle的內部安全小組將共同合作，有時可能需要與外部安全機構合作。

該小組在若干方面是不尋常的，因此需要豁免OpenJDK附則。由于其工作的敏感性，該組織的成員選擇性將會更加嚴格，因此將會有嚴格的溝通政策，成員或雇主也需要簽署不公開和許可協議，Mark Reinhold先生甲骨文的Java平臺組。

“這些要求嚴格來說違反了OpenJDK附則，”Reinhold說。 “然而，理事會已經討論過這個問題，我期望董事會會批準這個特殊要求來組建這個集團。”

如果Java安全組得到批準，Oracle內部Java漏洞團隊負責人安德魯·格羅將會領導它，監控軟件。

目前，OpenJDK社區的安全漏洞沒有有組織的討論。基于OpenJDK代碼庫（如IBM，Red Hat和SAP）運送二進制產品的非Oracle組織主要通過與Oracle的私有通信偶爾提供幫助來處理自身的安全漏洞。確實發生的大多數私人交流集中在分發修復而不是開發它們。該建議表示，目前的這種設置是無效的。

Java多年來一直存在安全性問題，Oracle在2010年從Sun Microsystems接管Java后解決了幾個問題。例如，Oracle去年決定從Java瀏覽器插件中移除，這導致了安全問題在平臺上, 灰鴿子遠程控制軟件, 遠程控制。