JAVA: Proponen que sea abierto, pero cerrado…

Para intentar reforzar la seguridad de Java, se está considerando un grupo privado opere fuera del proceso normal de comunidad de código abierto. Si leyó bien, cerrado dentro de abierto, es como un gatoperro.

El grupo de respuesta ante vulnerabilidades de OpenJDK (Java Development Kit) propuesto proporcionaría un foro seguro y privado en el que miembros de confianza de la comunidad reciban informes sobre vulnerabilidades en bases de código para luego revisarlas y corregirlas.

La coordinación de la liberación de arreglos también formaría parte del mandato del grupo. (Java SE, la edición estándar de Java se ha desarrollado bajo el auspicio de OpenJDK).

El grupo de vulnerabilidades y los equipos de seguridad interna de Oracle trabajarán juntos y, en ocasiones, necesitarán trabajar con organizaciones de seguridad externas.

Algo huele mal en la comunidad

El grupo sería inusual en varios aspectos, y por lo tanto requiere una exención de los estatutos de OpenJDK.

Debido a la naturaleza delicada de su trabajo, la membresía en el grupo sería más selectiva, habría una política de comunicación estricta, y los miembros o sus empleadores tendrían que firmar un acuerdo de no divulgación y de licencia, aseguraron en Oracle.

Si el grupo de seguridad de Java es aprobado, Andrew Gross será el líder del equipo interno de vulnerabilidades de Java de Oracle.

¿Interesados por el orden?

Actualmente, no hay una discusión organizada sobre vulnerabilidades de seguridad en la comunidad de OpenJDK.

Las organizaciones que no son de Oracle, que envían productos binarios basados ​​en bases de código OpenJDK, como IBM, Red Hat y SAP, en su mayoría manejan vulnerabilidades de seguridad por su cuenta, con ayuda ocasional a través de la comunicación privada con Oracle.

La mayoría de la comunicación privada que sí ocurre, se centran en distribuir arreglos en lugar de desarrollarlos.

Java es una de las caras de la inseguridad a través de los años, con un Oracle que tuvo que abordar varios problemas después de tomar el sistema Java de Sun Microsystems en 2010.

No queda claro el concepto de un lenguaje abierto pero cerrado para ciertas cuestiones, plantear ineficiencia en este caso, sería cuestionar la base misma de Linux, que se maneja de forma eficiente y sustentable desde hace décadas.

Ciertamente no queda claro, si un miembro de la comunidad que no participe de esta comunidad restringida, si tiene que perder su privacidad firmando contratos de confidencialidad y colocando todos sus datos en manos de Oracle, para informar una vulnerabilidad que afecta a sus pares.

Sinceramente no logro entender la nueva filosofía de Oracle, con respecto a Java.

Abrir, cerrar, no pensar….

 

Por Marcelo Lozano – General Publisher IT CONNECT Latam