如果說最近的Java暴露出來的安全缺陷能給我帶來什麼警示,那就是現在是到了Oracle公司重寫這種語言的時候了。
這是防毒軟體Bitdefender的締造者、資深軟體威脅分析師、羅馬尼亞人Bogdan Botezatu做出的結論,由於本週發現的最新的java缺陷,他估計會導致多於1億臺計算機暴露在駭客攻擊的危險之中。
按Botezatu的說法,Oracle的Java程式碼已經處於失控之中,這就是為什麼嚴重的安全問題不斷的出現在這種語言軟體中的原因。
“Oracle需要整理出Java的一些核心元件,徹底重寫它們,”在一次訪談中他這樣說。
一些成熟的產品,比如Java或Adobe公司的幾款軟體,在過去的很長的時間裡已經被無數人的手動過。“這些產品變得如此龐大,被如此多的程式設計師 維護過,導致這些軟體的出品人基本上對這些軟體裡應該有的東西失去了控制。”Botezatu說。
與軟體缺陷的戰爭
Oracle最近在對Java漏洞進行修補的結果證實了這位羅馬尼亞安全專家的分析。
例如,2012年8月份在新版的java7修訂版7中,Oracle修補了3個安全漏洞。就在這些補丁包釋出的幾個小時後,波蘭安全專家、Security Explorations公司的創始人和CEO——Adam Gowdiak發現了一個由這些補丁程式造成的安全漏洞。一些安全專家認為,Java現在是年老多病,很多功能器官都要依賴其它技術手段來維持工作。
根據Gowdiak所說,這種程式語言裡最近發現的一個還沒有相關補丁包的安全漏洞也同樣被認為是2012年10月份的那次安全升級的補丁包引入的。這些安全補丁包本身就不安全,它們開啟了大門讓自己暴露在駭客攻擊下。
“現在是一個很好的重寫Java的時機,以此來消除bug,而不是一層一層的打補丁。”Botezatu說。
然而,Botezatu知道這是不可能的。“Oracle不可能去做一些大的動作,因為這樣會影響現有市場上的眾多程式,”他補充道。
目前Oracle所面對的Java開發上的問題是一個所有軟體生產商都在面對的問題:如何在不破壞對以前版本相容性的前提下改進軟體。
“你可以看一下Windows Vista,看看它是如何因為一些客戶的在Windows XP上的應用不能在Vista裡執行而不被使用者接受的。”Botezatu解釋說。
不管怎樣,一些跡象顯示,Oracle真正努力解決Botezatu所說的這些問題。在週五,Oracle宣佈,從9月份的Java8開始,新的版本將以兩年一次的頻度釋出。
鑑於目前安全形勢,美國國土安全部建議禁掉瀏覽器裡的Java,可以透過Oracle公司提供的以下這些步驟實現。