Llegamos a ustedes gracias a:



Noticias

OpenJDK podría afrontar las brechas de seguridad en Java con un grupo secreto

[30/08/2017] Para reforzar la seguridad de Java, se está considerando el uso de un grupo privado que opere fuera del proceso normal de la comunidad de código abierto.

El OpenJDK (Java Development Kit) Vulnerability Group propuesto proporcionaría un foro seguro y confiable en el que los miembros de la comunidad reciben informes de vulnerabilidades en bases de código y luego las revisarían y solucionarían. La coordinación del lanzamiento de las soluciones también sería parte del mandato del grupo. (Java SE, la edición estándar de Java, ha sido desarrollada bajo los auspicios de OpenJDK).

El grupo de vulnerabilidades y los equipos de seguridad interna de Oracle trabajarían juntos, y en ocasiones podrían necesitar trabajar con las organizaciones de seguridad externa.

El grupo sería inusual en varios respectos y por lo tanto requiere una exención de los estatutos de OpenJDK. Debido a la naturaleza delicada de su trabajo, la pertenencia al grupo sería más selectiva, habría una política estricta de la comunicación, y los miembros o sus empleadores tendrían que firmar un acuerdo de confidencialidad y un contrato de licencia, afirmó Mark Reinhold, arquitecto jefe del grupo de plataforma Java en Oracle.

"Estos requerimientos, estrictamente hablando, violan los estatutos de OpenJDK, afirmó Reinhold. "El consejo directivo ha hablado de esto, y espero que el consejo apruebe la creación de este grupo con estos requisitos excepcionales.

Si se aprueba el grupo de seguridad de Java, Andrew Gross, líder del equipo interno de vulnerabilidades de Java de Oracle, lo lideraría.

Actualmente, no hay ninguna discusión organizada de las vulnerabilidades de la seguridad en la comunidad OpenJDK. Las organizaciones distintas a Oracle que distribuyen productos binarios basados en las bases de código de OpenJDK - como IBM, Red Hat y SAP - generalmente manejan las vulnerabilidades de la seguridad por ellos mismos, con la ayuda ocasional a través de comunicaciones privadas con Oracle. La mayor parte de la comunicación privada que ocurre se centra en la distribución de soluciones más que en su desarrollo. Este escenario actual es ineficiente, afirma la propuesta.

Java ha tenido su parte en los males de seguridad durante años, Oracle abordó varias cuestiones tras adquirir Java de Sun Microsystems en el 2010. Por ejemplo, Oracle el año pasado decidió abandonar el complemento de navegador de Java que le había provocado problemas de seguridad en la plataforma.