Szerző: Bodnár Ádám

2013. június 03. 15:21:00

Központilag menedzselhető lesz a Java alkalmazásfuttatás

A rendszergazdák hamarosan központilag határozhatják meg, egy szervezetben a PC-k mely weboldalakról futtathatnak Java kódot - derül ki egy friss blogbejegyzésből, amelyet Nandini Ramani, a platform fejlesztésének vezetője jegyez.

Hosszú blogbejegyzést publikált Nandini Ramani, a Java platform fejlesztését irányító Oracle-vezető a napokban, ahol a Java biztonságával kapcsolatos fejleményeket vette sorra. A Sun által létrehozott, majd akvizíció révén az Oracle kezébe került környezet az utóbbi időben elsősorban a biztonsági hiányosságok miatt került az érdeklődés homlokterébe, rendszeresen jelennek meg olyan exploitok, amelyek segítségével a támadók teljes kontrollt szerezhetnek az áldozatok gépe felett.

Központi kontroll az alkalmazások felett

Az Oracle ezért nagy erőfeszítéseket tesz a Java biztonságosabbá tétele érdekében - írja a blogbejegyzés, felsorolva azokat az intézkedéseket, amelyeket a cég megtett. Ilyen például az automatizált biztonságtesztelő eszközök használatának kiterjesztése, egy külső kódtesztelő szervezet bevonása a fejlesztési folyamatba, illetve a "fuzzing" elleni védelem megerősítése. A frissítések kiadásának ütemét is felpörgette a cég: idén már negyedévente érkeznek a rendszeres Java hibajavítások, csakúgy, mint a többi Oracle-termék esetében. Az év első felében 97 sebezhetőséget foltozott be a Javában a vállalat, ami majdnem kétszerese annak az 58-nak, amelyet tavaly egész évben kijavított.

Az Oracle erőfeszítéseit méltató blogbejegyzésből kiderül az is, hamarosan egy új képesség érkezika a Javához, amellyel központilag lesz engedélyezhető az alkalmazásfuttatási jogosultság. Egy otthoni felhasználó számára megoldás lehet a Java eltávolítása segítségével csökkenteni a biztonsági kockázatokat, vállalati alkalmazottak számára viszont erre sokszor nincs lehetőség, ha a feladataikhoz Java kliensalkalmazásokat kell használni. A Java esetleges sérülékennyé válása esetén ezek a dolgozók kiemelt kockázatot jelentenek a szervezetek számára, mivel nem tilthatják le a Java alkalmazások futtatását vagy távolíthatják el a gépükről a Javát, böngészés közben pedig interakció nélkül megfertőződhetnek.

Machine learning és Scrum alapozó képzések indulnak! (x) A HWSW októberben induló gyakorlatorientált, 10 alkalmas, 30 órás online képzéseire most early bird kedvezménnyel lehet regisztrálni!

A Local Security Policy ebben próbál segítséget nyújtani. A blogbejegyzés szerint ennek segítségével központi fehér lista lesz készíthető azokról az oldalakról és hosztokról, amelyek jogosultak Java alkalmazásokat futtatni a céges alkalmazottak gépein, minden más esetben pedig tiltható ez a lehetőség. Így elvileg csak a munkához szükséges oldalakról indulhatnak el a Java alkalmazások, más weboldalak meglátogatásakor nem kell Java-résen terjedő kártevőktől tartani. A bejegyzésből nem derül ki, melyik verzióban érkezik ez a képesség.

Új verziószámozási rendszer

A vállalat nemrég azt is nyilvánosságra hozta, meg fogja változtatni a Java verziószámozási rendjét, amelyre egyébként pont a sűrű hibajavítások miatt van szükség. A Java JDK 5 óta kiadott frissítések egy része hibajavítást és új funkciót is hordozó ún. Limited Update, más része pedig Critical Patch Update, amely értelemszerűen a biztonsági javításokat jelöli. Ezen a rendszeren az Oracle továbbra sem változtat, a verziószámozások rendjén azonban igen. A Limited Update-ek száma mindig a 20 többszöröse lesz, a Critical Patch Update-ek pedig az öt többszörösei, de csak páratlan számok (páros szám esetén egyet hozzáad a verziószámhoz az Oracle). Például a JDK következő Limited Update-je a 7u40 verziószámot viseli, az ezt követő Critical Patch Update-ek pedig 7u45, 7u51 és 7u55 számot kapják. Ezt a 7u60 Limited Update követi, amelyhez a 7u65, 7u71 és 7u75 Critical Patch Update-ek érkezhetnek.

A cég weboldala nem részletezi, mi történik akkor, ha egy Limited Update-et háromnál több Critical Patch Update követ - feltehetően ekkor az 5 többszöröse helyett más számot használnak majd. A magyarázat szerint ez a módszer követhetővé teszi, mely verzió pontosan mit takar, és nem töri meg a kompatibilitást azokkal a szoftverekkel, amelyek a jelenlegi verziószámozási rendszerhez kötődnek és a string formátumához ragaszkodnak. Az új számozási rendszert a JDK 5, 6 és 7 esetén vezeti be az Oracle.

a címlapról