在 Nandini Ramani的博文中討論了關(guān)于“Java的安全信譽(yù)”問題，間接的解決了一些Java安全研究人員批評和關(guān)注的問題，例如今年被爆出黑客利用Java瀏覽器插件漏洞侵入用戶電腦事件(瀏覽器開發(fā)商Mozilla為此禁用了Java插件，美國國土安全部還建議卸載Java。甲骨文因?yàn)槲茨芗皶r(shí)發(fā)布補(bǔ)丁而受到了批評)。

Ramani表示，Oracle公司計(jì)劃從今年10月份開始，將加速Java補(bǔ)丁的時(shí)間表，同時(shí)，Oracle正在努力做好關(guān)于Java安全代碼審查的相關(guān)工作。據(jù)了解，Java開發(fā)團(tuán)隊(duì)正在大規(guī)模的使用自動化的安全測試工具，該測試工具可以定期幫助開發(fā)團(tuán)隊(duì)自動覆蓋大部分的Java平臺代碼。在Java環(huán)境中，Ramani的團(tuán)隊(duì)和甲骨文主要源代碼分析服務(wù)提供商正在讓自動化的工具更加的有效，同時(shí)，他們還開發(fā)出了“模糊化”的分析工具，用來檢測某些類型的漏洞。

一直以來，缺乏適當(dāng)?shù)拇a安全審查及Java 7的質(zhì)量測試，導(dǎo)致了安全研究人員在Java平臺上發(fā)現(xiàn)了大量的安全漏洞，也為Oracle帶來了眾多批評的聲音。

Ramani還透露了關(guān)于本次改進(jìn)計(jì)劃的其他信息，“新的安全級別以及用于Java小程序的警告—基于Web的Java應(yīng)用程序，將分別在 Java 7 Update 10和Java 7 Update 21中被引入。”這些變化是為了阻止未簽名或自簽名的Applet自動執(zhí)行，在不久的將來，在默認(rèn)情況下，Java將不再允許自簽名或無符號的代碼執(zhí)行。

從安全角度考慮，其實(shí)Oracle這種做法是有道理的，因?yàn)榇蠖鄶?shù)的Java漏洞都是利用未簽名的Java applets實(shí)現(xiàn)的。Java客戶端能否實(shí)時(shí)檢查數(shù)字證書的有效性——Java支持通過證書撤銷列表(CRL)和在線證書狀態(tài)協(xié)議(OCSP)進(jìn)行吊銷檢查，但此功能在默認(rèn)情況下是禁用的。

“之所以在默認(rèn)情況下不啟用此功能，是因?yàn)樗赡軙绊憫?yīng)用性能。”Ramani表示，“目前，Oracle正在做相關(guān)的改進(jìn)，在未來的Java版本中，此功能將會自動開啟。”同時(shí)，在加入集中管理白名單功能后，企業(yè)將可以控制哪些網(wǎng)站可以在他們的計(jì)算機(jī)上運(yùn)行瀏覽器內(nèi)的Java applets。

不過，許多企業(yè)并不能像家庭用戶那樣禁用Java瀏覽器插件，因?yàn)樗麄冃枰狫ava applets來訪問那些基于Java創(chuàng)建的Web關(guān)鍵業(yè)務(wù)應(yīng)用。

本地安全策略功能也將很快被引入到Java中，系統(tǒng)管理員因此可以獲得更多的安全策略設(shè)置，比如，系統(tǒng)管理員可以限制特定主機(jī)上(例如合作伙伴的服務(wù)器等)的Java applets的執(zhí)行，從而減少訪問未經(jīng)授權(quán)的惡意軟件所帶來的風(fēng)險(xiǎn)。

雖然Java的安全性問題一般只會影響運(yùn)行在瀏覽器內(nèi)的Java插件，但由于媒體的公開報(bào)道，這一度影響了很多企業(yè)在服務(wù)器上使用Java。“未來，Oracle將探索更多的安全措施，以減少由于Java引起的安全問題。”Ramani表示。

原文鏈接：http://tech.it168.com/a2013/0603/1491/000001491341.shtml