Корпорация Oracle планирует реализовать определенные изменения, направленные на усиление безопасности Java, в частности в сфере выпуска исправлений, управления цифровыми сертификатами, работы с неподписанными апплетами и возможностей централизованного управления для крупных корпоративных пользователей.
Эти изменения, вместе с модификацией кодов для повышения безопасности, направлены на то, чтобы снизить количество эксплуатируемых и потенциальных уязвимостей как в версии Java для настольных ПК, так и в серверном варианте этой среды, рассказала Нандини Рамани, вице-президент по разработка Java Client and Mobile Platforms в Oracle.
По ее словам, безопасность Java была и остается одним из основных приоритетов Oracle. Рамани признал, что в последнее время в адрес Java раздается много критики, связанной с безопасностью этой среды, а также с молниеносным распространением атак, направленных на бреши в Java. Чтобы как-то справиться с данными недочетами, компания планирует ускорить выпуск патчей, начиная с октября этого года. В конечном итоге, Oracle стремится к тому, чтобы выпускать исправления для Java одновременно с исправлениями для других своих продуктов. Впрочем, это не решит проблем с так называемыми уязвимостями "нулевого дня". Чтобы бороться с этой напастью Oracle решила делать регулярный аудит кода Java как при помощи автоматических тестеров, так и вручную.
"Мы намерены расширить использование автоматических средств тестирования и планируем их использовать на больших фрагментах программного кода Java", - говорит она.
Также она отметила, что часть решений по безопасности была реализована в уже выпущенном обновлении для настольных компьютеров Java 7 Update 21.
Еще одним направлением работы станет более подробное документирование информации об уже устраненных уязвимостях. А также более строгие принципы работы списков CRL (certificate revocation list) и протокола OCSP (Online Certificate Status Protocol).
Источник: CyberSecurity
|