Oracle安全部门负责人承诺解决问题并增强与社区之间的沟通

本文来源于我在InfoQ中文站翻译的文章，原文地址是：http://www.infoq.com/cn/news/2013/02/java-security-call

在经历了洪水一般引入关注的安全问题之后，Oracle Java安全部门负责人Milton Smith承诺Oracle将会修复平台的安全问题，同时还会增强与社区成员之间的沟通。

Milton Smith在与Java User Group（JUG）负责人的对话中说“Java安全的未来规划其实挺简单的”。

首先需要解决Java的安全问题，然后增强彼此间的沟通；我们之间失去谁都不行。缺乏交流与沟通只会让彼此失望，我们必须要解决Java的问题。

问题的焦点在于浏览器上的Java，这也是近期大多数安全漏洞之所在。除了补丁之外，Milton还重点强调了Java 7u10中为Java控制面板所添加的“安全滑块”，还有一个复选框，可以让用户更轻松地在各种平台上禁用Java。工程师们还引入了一个新功能，Applets若想运行，必须得事先向用户发出警告才行，通过这种方式防止漏洞。

关于与社区间的沟通，Milton说到“我们之间有很多事情需要交流”，并强调Oracle与大众之间沟通的必要性，从工程师到运行数据中心的IT专业人士，虽然没有明示，但消费者也是重点考虑的目标。虽然具体该怎么做尚未确定下来，但肯定会向JUG负责人提供更多信息，他们可以向其成员传播这些信息，也可以在技术大会上进行相关的演讲，还可以与新闻界沟通。Oracle不愿意回答来自新闻界的各种问题，这导致OpenJDK产品管理总监Donald Smith等人的批评。

在对话中，Donald不愿意回答用户安装Ask工具栏时出现的10分钟延迟事件的原因。我们此前曾报道过，Ask Partner Network的总裁Andrew Moers向InfoQ透露“这么做是为了确保JRE更新能够正确的加载，不会对用户的电脑造成额外负担”。Donald Smith说到：

这正是我想与你分享的关于为何这么做的一则信息，但我自己不能这么做。我听你的，我也觉得从表面上来看，我们会想“怎么会这样？”，我们永远也给不出令人满意的答案，但我希望未来有一天我们能澄清这一切。

Oracle所面对的一些挑战是Java拥有如此多的用户：从家庭用户到个体开发者，再到大型企业。当JUG负责人提到Java能否提供安静的自动更新机制，就像Chrome与Firefox浏览器那样时，这种冲突尤为明显。最终的Java用户当然希望这种行为了，但很多企业会严格控制桌面环境，并且不赞同这种方式；对于运行着Java应用的集群服务器环境来说更是如此。Donald说到：

我们既没有说不这么做，也没有说可以这么做，这需要一些讨论才能确定下来。当然了，挑战在于——如果发布了新的特性，同时长久以来你的生态圈都没有这么干过，那么你会发现有很多人会说：我该如何预防呢？

Milton Smith最后说到Java团队非常感谢来自于社区的反馈，我们阅读了邮件列表上的每条消息，并且认真考虑过他们的建议。

查看英文原文：Oracle's Head of Security Promises to Fix Issues and Improve Communication