甲骨文發表一篇部落格文章敘述(及希望)會提高Java的安全性。從那之後,我問過了幾次:這指的究竟是什麼和這對一般使用者來說代表什麼?
首先,甲骨文談到他們現在如何處理安全修補程式。他們指出最近的修補程式有些什麼,事實上,它們比以前的修補程式解決更多安全漏洞。更重要的是,Java的更新時間表已經和其他Oracle產品線一致:每三個月就會推出一次修補程式,從今年十月開始。這應該有助於讓潛在問題被攻擊者利用前,能夠得到更迅速的解決。當然,甲骨文也會繼續替關鍵漏洞提供時間表外的更新。
Java也已經被納入甲骨文的軟體安全保障政策。一旦被納入,舉例來說,甲骨文現在就會使用自動化安全測試工具,來防止修正錯誤時出現回歸和新的問題。這是個好消息,因為它意味著未來將可以更快速的修補問題。
接下來,他們談論自己是如何地努力在提高Java的安全性,因為它會被用在瀏覽器中。比談論過去做過什麼更重要的是,甲骨文將會盡快推行的是什麼:未來版本的Java將不再允許未經簽章或自行簽章的應用程式執行。目前尚不清楚會何時發生,但如果這麼做,將會讓Java的安全性有顯著的增加。這代表攻擊者將不得不購買或是盜用簽章金鑰,好讓他們的Java程式可以執行:雖然這沒辦法阻止一個真正堅持的攻擊者,但對於不是那麼針對性的攻擊將會減少。此外,Oracle還致力於改善Java如何處理被撤銷的簽章,所以這程序可以在以後被預設打開。
