|
OpenJDK可以通过秘密组来解决Java安全漏洞
监控软件
私人小组将处理目前无协调处理的代码漏洞,或者根本不处理这些漏洞
为了巩固Java的安全性,正在考虑在正常的开源社区进程之外运行的私有组。
提出的OpenJDK(Java开发工具包)漏洞组将提供一个安全的私人论坛,其中受信任的社区成员接收代码库漏洞的报告,然后查看和修复它们。协调解决问题的办法也将成为小组任务的一部分。 (Java SE是Java的标准版,已经在OpenJDK的支持下开发。)
漏洞小组和Oracle的内部安全小组将共同合作,有时可能需要与外部安全机构合作。
该小组在若干方面是不寻常的,因此需要豁免OpenJDK附则。由于其工作的敏感性,该组织的成员选择性将会更加严格,因此将会有严格的沟通政策,成员或雇主也需要签署不公开和许可协议,Mark Reinhold先生甲骨文的Java平台组。
“这些要求严格来说违反了OpenJDK附则,”Reinhold说。 “然而,理事会已经讨论过这个问题,我期望董事会会批准这个特殊要求来组建这个集团。”
如果Java安全组得到批准,Oracle内部Java漏洞团队负责人安德鲁·格罗将会领导它,监控软件。
目前,OpenJDK社区的安全漏洞没有有组织的讨论。基于OpenJDK代码库(如IBM,Red Hat和SAP)运送二进制产品的非Oracle组织主要通过与Oracle的私有通信偶尔提供帮助来处理自身的安全漏洞。确实发生的大多数私人交流集中在分发修复而不是开发它们。该建议表示,目前的这种设置是无效的。
Java多年来一直存在安全性问题,Oracle在2010年从Sun Microsystems接管Java后解决了几个问题。例如,Oracle去年决定从Java浏览器插件中移除,这导致了安全问题在平台上, 灰鸽子远程控制软件, 远程控制。 |
|