Categories: EntwicklerProjekte

Neues Gremium soll Java sicherer machen

In der OpenJDK Vulnerability Group sollen künftig Sicherheitsaspekte von Java SE gesondert betrachtet werden. Die Gruppe soll außerhalb der Open Source Community stehen, aber sich aus vertrauenswürdigen Mitgliedern der Community zusammensetzen und eng mit dem internen Sicherheitsteam von Oracle zusammenarbeiten. In einigen Fällen soll die Vulnerability Group auch mit externen Organisationen zusammenarbeiten. Die Gruppe soll dann nicht nur an Sicherheitsproblemen arbeiten, die anderweitig nicht angegangen werden, sondern vor allem auch die Entwicklung von Updates koordinieren.

So soll Java nach der Einführung des Java Platform Module System aussehen. Auf den ersten Blick sieht das deutlich aufgeräumter aus, allerdings stehe zu befürchten, wie Kritiker meinen, dass ältere Anwendungen nicht kompatibel sind. (Bild: Oracle)
Die Einführung des Java Platform Module System soll  Java Übersichtlicher machen. Kritiker fürchten aber Inkompatibilitäten zu bestehenden Anwendungen. Die OpenJDK Vulnerabilty Group soll dagegen die Arbeit an der Sicherheit der Plattform koordinieren. (Bild: Oracle)

Der Vorschlag für diese Gruppe stammt von Mark Reinhold, dem Chief Archiect der Java Platform Group bei Oracle. Im Grunde verstößt diese Gruppe gegen die Bestimmungen von OpenJDK.

“Das Governing Board hat die Schaffung einer Vulnerability Group seit einer Weile diskutiert”, so Reinhold in einer kurzen Ankündigung. Aufgrund der hohen Sensibilität dieses Themas müssen ebenfalls bestimmte Regelungen eingehalten werden. “Die Mitgliedschaft wird sehr viel selektiver sein und es wird eine strenge Kommunikationsregelung geben und die Mitglieder oder deren Angestellten müssen Non-Disclosoure- und Lizenz-Verträge unterzeichnen”, so Reinhold weiter.

Ausgewähltes Whitepaper

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Nun müssen für diese Rahmenbedinungen jedoch Ausnahmeregelungen geschaffen werden, die aber bereits von dem Governing Board diskutiert wurden. Die Leitung dieser Gruppe soll dann von Andrew Gross, dem Leiter des Java Vulnerability Teams von Oracle geleitet werden. In einem weiteren Dokument listet Reinhold weitere Informationen über die Gruppe.

Aktuell existiert keine koordinierte Arbeit an der Sicherheit in der OpenJDK-Community. So kümmern sich Anbieter wie Canonical, IBM oder SAP, die Produkte auf Basis von OpenJDK entwickeln, selbst um die Sicherheit in diesen Produkten. In einigen Fällen gibt es Rücksprachen mit Oracle. Diese Art der Entwicklung aber ist sehr ineffizient. Als positive Beispiele nennt Reinhold die Sicherheitgruppe der Eclipse-Foundation und die Sicherheits-Policies bei Web Kit.

Bei Java Enterprise Edition (Java EE) prüft Oracle aktuell, ob die weitere Entwicklung der Software nicht an die Community ausgelagert werden soll.

Redaktion

Recent Posts

Siemens investiert 5 Milliarden Dollar in US-Softwarehaus

Der Kauf von Dotmatics, Anbieter von F&E-Software, soll das PLM-Portfolio des Konzerns im Bereich Life…

14 Stunden ago

Fragmentierung von KI verhindern und Risiken reduzieren

Unternehmen wollen KI schnell einführen, doch dadurch entsteht Stückwerk, warnt Larissa Schneider von Unframe im…

17 Stunden ago

Die Falle der technischen Schulden durchbrechen

Technische Schulden – Tech Debt – machen oft 20 bis 40 Prozent der Technologieressourcen aus,…

18 Stunden ago

Umfrage sieht KMU in der digitalen Warteschleife

Obwohl 84 Prozent der Befragten Digitalisierung als entscheidenden Erfolgsfaktor sehen, hat gerade einmal die Hälfte…

22 Stunden ago

Wie KI den Jobeinstieg verändert

Aus Sicht vieler Führungskräfte sind junge Talente oft unzureichend auf ihre Jobprofile vorbereitet, da sie…

3 Tagen ago

Deutsche DefTechs: Nur jedes dritte würde erneut hier gründen

Umfrage: Bürokratisches Beschaffungswesen, strikte Regulierung und fehlendes Risikokapital bremsen digitale Verteidigungs-Innovationen.

3 Tagen ago