Oracle 安全部门负责人承诺解决问题并增强与社区之间的沟通

  • Charles Humble
  • 张龙

2013 年 2 月 13 日

话题:安全语言 & 开发

在经历了洪水一般引入关注的安全问题之后,Oracle Java 安全部门负责人 Milton Smith 承诺 Oracle 将会修复平台的安全问题,同时还会增强与社区成员之间的沟通。

Milton Smith 在与 Java User Group(JUG)负责人的对话中说“Java 安全的未来规划其实挺简单的”。

首先需要解决 Java 的安全问题,然后增强彼此间的沟通;我们之间失去谁都不行。缺乏交流与沟通只会让彼此失望,我们必须要解决 Java 的问题。

问题的焦点在于浏览器上的 Java,这也是近期大多数安全漏洞之所在。除了补丁之外,Milton 还重点强调了 Java 7u10 中为 Java 控制面板所添加的“安全滑块”,还有一个复选框,可以让用户更轻松地在各种平台上禁用 Java。工程师们还引入了一个新功能,Applets 若想运行,必须得事先向用户发出警告才行,通过这种方式防止漏洞。

关于与社区间的沟通,Milton 说到“我们之间有很多事情需要交流”,并强调 Oracle 与大众之间沟通的必要性,从工程师到运行数据中心的 IT 专业人士,虽然没有明示,但消费者也是重点考虑的目标。虽然具体该怎么做尚未确定下来,但肯定会向 JUG 负责人提供更多信息,他们可以向其成员传播这些信息,也可以在技术大会上进行相关的演讲,还可以与新闻界沟通。Oracle 不愿意回答来自新闻界的各种问题,这导致 OpenJDK 产品管理总监 Donald Smith 等人的批评。

在对话中,Donald 不愿意回答用户安装 Ask 工具栏时出现的 10 分钟延迟事件的原因。我们此前曾报道过,Ask Partner Network 的总裁 Andrew Moers 向 InfoQ 透露“这么做是为了确保 JRE 更新能够正确的加载,不会对用户的电脑造成额外负担”。Donald Smith 说到:

这正是我想与你分享的关于为何这么做的一则信息,但我自己不能这么做。我听你的,我也觉得从表面上来看,我们会想“怎么会这样?”,我们永远也给不出令人满意的答案,但我希望未来有一天我们能澄清这一切。

Oracle 所面对的一些挑战是 Java 拥有如此多的用户:从家庭用户到个体开发者,再到大型企业。当 JUG 负责人提到 Java 能否提供安静的自动更新机制,就像 Chrome 与 Firefox 浏览器那样时,这种冲突尤为明显。最终的 Java 用户当然希望这种行为了,但很多企业会严格控制桌面环境,并且不赞同这种方式;对于运行着 Java 应用的集群服务器环境来说更是如此。Donald 说到:

我们既没有说不这么做,也没有说可以这么做,这需要一些讨论才能确定下来。当然了,挑战在于——如果发布了新的特性,同时长久以来你的生态圈都没有这么干过,那么你会发现有很多人会说:我该如何预防呢?

Milton Smith 最后说到 Java 团队非常感谢来自于社区的反馈,我们阅读了邮件列表上的每条消息,并且认真考虑过他们的建议。

查看英文原文:Oracle's Head of Security Promises to Fix Issues and Improve Communication

安全语言 & 开发