在 Nandini Ramani的博文中討論了關于“Java的安全信譽”問題，間接的解決了一些Java安全研究人員批評和關注的問題，例如今年被爆出黑客利用Java瀏覽器插件漏洞侵入用戶電腦事件(瀏覽器開發(fā)商Mozilla為此禁用了Java插件，美國國土安全部還建議卸載Java。甲骨文因為未能及時發(fā)布補丁而受到了批評)。

Ramani表示，Oracle公司計劃從今年10月份開始，將加速Java補丁的時間表，同時，Oracle正在努力做好關于Java安全代碼審查的相關工作。據(jù)了解，Java開發(fā)團隊正在大規(guī)模的使用自動化的安全測試工具，該測試工具可以定期幫助開發(fā)團隊自動覆蓋大部分的Java平臺代碼。在Java環(huán)境中，Ramani的團隊和甲骨文主要源代碼分析服務提供商正在讓自動化的工具更加的有效，同時，他們還開發(fā)出了“模糊化”的分析工具，用來檢測某些類型的漏洞。

一直以來，缺乏適當?shù)拇a安全審查及Java 7的質(zhì)量測試，導致了安全研究人員在Java平臺上發(fā)現(xiàn)了大量的安全漏洞，也為Oracle帶來了眾多批評的聲音。

Ramani還透露了關于本次改進計劃的其他信息，“新的安全級別以及用于Java小程序的警告—基于Web的Java應用程序，將分別在 Java 7 Update 10和Java 7 Update 21中被引入。”這些變化是為了阻止未簽名或自簽名的Applet自動執(zhí)行，在不久的將來，在默認情況下，Java將不再允許自簽名或無符號的代碼執(zhí)行。

從安全角度考慮，其實Oracle這種做法是有道理的，因為大多數(shù)的Java漏洞都是利用未簽名的Java applets實現(xiàn)的。Java客戶端能否實時檢查數(shù)字證書的有效性——Java支持通過證書撤銷列表(CRL)和在線證書狀態(tài)協(xié)議(OCSP)進行吊銷檢查，但此功能在默認情況下是禁用的。

“之所以在默認情況下不啟用此功能，是因為它可能會影響應用性能。”Ramani表示，“目前，Oracle正在做相關的改進，在未來的Java版本中，此功能將會自動開啟。”同時，在加入集中管理白名單功能后，企業(yè)將可以控制哪些網(wǎng)站可以在他們的計算機上運行瀏覽器內(nèi)的Java applets。

不過，許多企業(yè)并不能像家庭用戶那樣禁用Java瀏覽器插件，因為他們需要Java applets來訪問那些基于Java創(chuàng)建的Web關鍵業(yè)務應用。

本地安全策略功能也將很快被引入到Java中，系統(tǒng)管理員因此可以獲得更多的安全策略設置，比如，系統(tǒng)管理員可以限制特定主機上(例如合作伙伴的服務器等)的Java applets的執(zhí)行，從而減少訪問未經(jīng)授權的惡意軟件所帶來的風險。

雖然Java的安全性問題一般只會影響運行在瀏覽器內(nèi)的Java插件，但由于媒體的公開報道，這一度影響了很多企業(yè)在服務器上使用Java。“未來，Oracle將探索更多的安全措施，以減少由于Java引起的安全問題。”Ramani表示。

原文鏈接：http://tech.it168.com/a2013/0603/1491/000001491341.shtml