對于所有使用Java應用程序的企業(yè)來說，Java安全性都是重要的主題。Java冠軍Simon Ritter深入研究了JDK，以及未使您的應用程序保持最新狀態(tài)的潛在缺點，以及為什么重要的補丁更新（CPU）和補丁集更新（PSU）之間的區(qū)別至關重要。

一年多以前，即2019年4月，大多數(shù)Java用戶訪問JDK更新的方式發(fā)生了變化。原因是Oracle對JDK的開發(fā)方式和Oracle JDK的許可條款進行的更改綜合起來。

現(xiàn)在，Oracle JDK 11和Oracle JDK 8（來自更新211）使用Oracle技術網(wǎng)絡許可協(xié)議。這將免費使用限制為僅以下四種情況：

1. 個人使用（用于個人應用程序的筆記本電腦或臺式機）

2. 開發(fā)用途

3. Oracle批準的產(chǎn)品使用

4. Oracle云基礎架構(gòu)使用

對于所有其他情況，必須從Oracle購買Java SE訂閱。

這要求用戶做出有關其JDK部署策略的決策。一種這樣的方法是：“嗯，它在我們現(xiàn)在擁有的JDK上運行良好；讓我們堅持下去”。

這有一個明顯的缺陷，那就是該決定將對應用程序的安全性產(chǎn)生影響。

自從人們開始開發(fā)軟件以來，其他人一直在嘗試尋找以最初不想要的方式使用它的方法。這通常是出于惡意目的，例如竊取信用卡號或用戶身份。我們使用“黑客”一詞來描述能夠顛覆計算機安全性的人。黑客使用多種方法來實現(xiàn)其目標。從欺騙人們到泄露機密信息（網(wǎng)絡釣魚），再到通過緩沖區(qū)溢出之類的技術對軟件進行復雜的操縱。

不幸的是，軟件越復雜，黑客就越容易利用該漏洞。JDK是一個非常復雜的軟件，因此可能包含漏洞。

發(fā)現(xiàn)軟件中的漏洞后，通常會將它們記錄為常見漏洞和披露（CVE）。由Miter公司運營的國家網(wǎng)絡安全FFRDC維護CVE數(shù)據(jù)庫。每個CVE（由唯一編號標識）均具有該漏洞的文字描述。

此外，每個CVE都有一個通用漏洞評分系統(tǒng)（CVSS）值。它不包括在CVE中，而是在由美國國家科學技術研究院（NIST）托管的國家漏洞數(shù)據(jù)庫中維護。CVSS提供基本分數(shù)和一組指標。基本分數(shù)是表示漏洞嚴重性的0.1到10.0之間的值（從技術上講，基本分數(shù)從0.0開始，但從定義上講，分數(shù)為零的任何東西都不是脆弱性）。基本分數(shù)是根據(jù)一組指標計算得出的，這些指標表明漏洞的不同方面。這些指標與諸如是否可以通過網(wǎng)絡利用漏洞，是否需要對計算機進行物理訪問等相關。

• 0.0：無

• 0.1-3.9：低

• 4.0-6.9：中

• 7.0-8.9：高

• 9.0-10.0：嚴重

讓我們看一下保持JDK最新的重要性。

首先，我回顧了過去三年的更新，并提取了每個漏洞都具有最高CVSS基本分數(shù)的漏洞。如下表所示。

如您所見，大多數(shù)更新解決了至少一個得分高的漏洞，其中一些解決了關鍵漏洞。當我們僅將此限制為自Oracle Java SE許可更改以來的更新時，我們?nèi)匀豢吹狡渲幸粋€具有嚴重漏洞，而三個則具有較高漏洞。有趣的是，2019年4月更新中解決的關鍵漏洞位于用于構(gòu)建JDK的Windows DLL中，而不是任何JDK代碼中。

接下來，我分析了自2015年1月以來的所有更新，這些都是隨時可用的信息。查看所有已解決的漏洞并將其分為風險組，我們可以生成一個條形圖，如下所示：

我將關鍵的一分為二，以突出顯示得分為10的得分。

如您所見，總共解決了320個CVE，其中大多數(shù)處于中低范圍。關鍵CVE的數(shù)量為59，這應該使您考慮使JDK保持最新狀態(tài)的重要性。

但是，還有更多的復雜性。

Oracle為每個更新提供兩個不同的版本。他們的所有軟件都一樣。這些稱為關鍵補丁更新（CPU）和補丁集更新（PSU）。

CPU僅包含與解決安全漏洞有關的更改。PSU提供了所有這些更改，以及所有其他錯誤修復，較小的增強等。這樣做的目的是在需要修補關鍵漏洞時能夠快速推出更新。由于CPU包含的更改集較小，因此它不太可能對應用程序的穩(wěn)定性產(chǎn)生影響（即，不太可能使您的應用程序無法運行）。使用CPU進行觸摸測試后，可以對其進行部署以確保應用程序的最大安全性。然后，您可以在將PSU部署到生產(chǎn)計算機之前花費更長的時間測試PSU（通常運行全套回歸測試）。這樣可以確保您的應用程序具有最大的穩(wěn)定性。

這里的重要說明是，并非所有OpenJDK二進制提供程序都了解CPU和PSU之間的區(qū)別。實際上，有些人將它們稱為CPU更新，實際上是PSU。在部署之前，您應該仔細查看所獲得的內(nèi)容。

為了強調(diào)同時擁有CPU和PSU的好處，我們只需要查看2020年7月的更新即可。其中包括對錯誤的修正，該修正本身引入了回歸。這種回歸的影響是，Hadoop集群，Solr和Lucene等頻繁使用的軟件不再可靠運行，這對于使用它們的關鍵任務應用程序來說是一個嚴重的問題?；貧w不在安全補丁程序中，因此不包含在CPU中。

通過在7月27日發(fā)布更新265的修復程序解決了回歸問題，該修復程序是計劃的7月更新發(fā)布后的十二天。初始更新包含對CVE的修復，其基本分數(shù)為8.3，其詳細信息已在發(fā)行說明中公開。如果您一直在使用其中一個受影響的軟件系統(tǒng)，那么如果您只有全包的PSU，黑客將有將近兩個星期的時間來嘗試利用此軟件。如果您還可以訪問CPU，則可能已經(jīng)推出了必要的安全補丁程序，可以保護系統(tǒng)免受威脅，并且可以放心地等待發(fā)布修訂的PSU。

Azul的OpenJDK構(gòu)建的Zulu Enterprise面向希望確保其系統(tǒng)提供最高級別的安全性和穩(wěn)定性的用戶。除了提供每個更新的CPU（安全）和PSU（完整）版本外，我們還努力在Oracle發(fā)布其版本后盡快提供這些更新。自從JDK 8的免費公共更新結(jié)束以來，Zulu Enterprise客戶已經(jīng)能夠在Oracle版本發(fā)布后的一小時內(nèi)下載更新。本質(zhì)上，這是同時的。

總而言之，很明顯，確保使用最新更新維護所有運行基于JVM的應用程序的系統(tǒng)非常重要。

您的Java運行時是否應有的安全？