Корпорацията Oracle планира да въведе някои промени, насочени към укрепване на сигурността на Java, по-специално в областта на пускането на актуализации, запушващи "дупки" в сигурността, както и в управлението на цифрови сертификати, работата с неподписани аплети и възможностите за централизирано управление за големи корпоративни потребители. Тези промени, заедно с модифицирането на кодовете за повишаване на безопасността, имат за цел намаляване броя на експлоатируемите и потенциалните уязвимости във версиите на Java както за настолни компютри, така и за сървърните варианти на средата, заяви Нандини Рамани, вицепрезидент по развитието на Java Client and Mobile Platforms в Oracle.
По думите ?, сигурността на Java винаги е била и остава един от основните приоритети на Oracle. Рамани призна, че през последните години се отправят все повече критики по адрес на Java, свързани с безопасността на средата, както и с мълниеносното разпространение на атаките, насочени срещу уязвимости в нея. За справяне с тези недостатъци компанията планира да ускори пускането на кръпки, считано от месец октомври тази година. Така Oracle възнамерява да пуска пачове за Java едновременно с кръпките за други свои продукти, което обаче не решава проблемите с т.нар. уязвимости от типа “нулев ден”. За борба с тях Oracle ще извършва редовни одити на кода на Java както с помощта на програми за автоматично тестване, така и ръчно.
"Възнамеряваме да разширим използването на автоматизирани системи за провеждане на тестове върху по-големи фрагменти от програмния код на Java", каза тя. Рамани отбеляза също, че част от решенията за сигурност е била реализирана във вече пуснатия за изтегляне ъпдейт на версията на средата за настолни компютри Java 7 Update 21.
Друго направление в работата на компанията ще стане по-подробното документиране на информацията за вече отстранените уязвимости, както и разработването на по-строги принципи на работа на списъците CRL (certificate revocation list) и протокола OCSP (Online Certificate Status Protocol).
