Max Home IndustryГруппа OpenJDK рассматривает возможность создания частной группы с безопасным частным форумом для обсуждения уязвимостей безопасности.
Согласно документу с предложением, форум будет где-то:
«в котором доверенные члены сообщества OpenJDK могут получать сообщения об уязвимостях в кодовых базах OpenJDK, просматривать их, сотрудничать в их исправлении и координировать выпуск таких исправлений.»
В электронном письме о предложении в Список рассылки OpenJDK Марк Рейнхольд из Oracle сказал, что группа будет необычной в нескольких отношениях из-за деликатного характера ее работы:
«Членство будет более избирательным, будет строгая коммуникационная политика, и члены (или их работодатели) должны будут подписать соглашение о неразглашении и лицензионное соглашение.»
Одна из потенциальных проблем заключается в том, что частный характер противоречит Уставу OpenJDK. Однако Рейнхольд сказал, что Совет управляющих обсудил это и что он ожидает, что Совет одобрит создание этой Группы с учетом этих исключительных требований.
Необходимость в форуме обусловлена тем, что в настоящее время в сообществе OpenJDK нет организованного обсуждения уязвимостей. В предложении для форума говорится, что:
«Каждая организация, не являющаяся поставщиком Oracle, которая поставляет бинарные продукты на основе кодовых баз OpenJDK (например, Red Hat, IBM, SAP и Canonical), обрабатывает уязвимости безопасности в основном самостоятельно, иногда с помощью частной связи с Oracle.»
Это неэффективно, и то, что происходит в частном общении, больше сосредоточено на распространении исправлений, чем на разработке исправлений. Кроме того, этот метод не использует внешних участников, которые обладают знаниями и квалификацией и которые могли бы помочь проанализировать и устранить уязвимости.
Предполагая, что создание частного форума в OpenJDK для обсуждения уязвимостей поможет всему сообществу Java инвестировать в безопасность скоординированным образом, в документе отмечается, что у других сообществ открытой разработки есть хорошие примеры, на которых можно основать форум OpenJDK, включая команду безопасности Фонда Eclipse и группу безопасности проекта WebKit.