Sun、Javaのセキュリティ・アップデート方針を変更
また同社は、セキュリティ・パッチのリリース時期が、バージョンごとに異なっていることに対する批判にこたえ、今後はサポートしているすべてのJava SEのセキュリティ・アップデートを、同時に行う方針であることも明らかにした。
セキュリティ・アップデートの事前通知方法は、米国Microsoftや米国Oracleのように、設定されたスケジュールに沿うのではなく、電子メールや同社のセキュリティ・ブログで情報を公開するとしている。
Sunで広報担当を務めるジャッキー・デコスター氏は、「今回のセキュリティ・アップデート方針の変更で 、システム管理者は一度にセキュリティ・パッチを当てられるようになり、作業負担が軽減される」とコメントしている。
米国イーアイ・デジタル・セキュリティでCTO(最高技術責任者)を務めるマーク・マイフレット氏は今年7月、デスクトップ向けJava技術の一部のバージョンで脆弱性が発見されてから、Sunがセキュリティ・バッチをリリースするまで、何カ月もかかったことを痛烈に批判した。
マイフレット氏によると今年1月、同氏の務める会社が「Java Network Launching Protocol(JNLP)」に深刻な脆弱性を発見したという。しかし、Sunがこの脆弱性を修正するパッチを開発者に提供したのは、Sunが同脆弱性の修正をJavaコミュニティに公開する、わずか数週間前のことだった。
「このような対応の遅れにより、SunはJavaを利用している8億人のデスクトップ・ユーザーを危険にさらしたことになる」(マイフレット氏)
またSunは、「Java 2 Platform, Standard Edition(2SE)5.0」や「J2SE 1.4/1.3」といった旧バージョンのセキュリティ・アップデートも、最新バージョンと同時に行うことを明らかにした。
現在のところ旧バージョンのセキュリティ・アップデートは、最新バージョンのセキュリティ・アップデートの数週間、あるいは数カ月後となっている。ただし、J2SE 1.3のセキュリティ・アップデートがほかのバージョンと同時に行われるのは、2008年になってからだという。
なおデコスター氏は、小型デバイス向けの「Java ME(Micro Edition)」と、アプリケーション・サーバ向けの「Java EE(Enterprise Edition)」に関しては、ほかのバージョンと同時にセキュリティ・アップデートを行うかどうか明言していない。
(ロバート・マクミラン/IDG News Service サンフランシスコ支局)
米国Sun Microsystems
http://www.sun.com/
提供:Computerworld.jp
