OpenJDK Vulnerability Group, un posible grupo para reforzar la seguridad de Java
El grupo privado se ocuparía de vulnerabilidades de código que actualmente se manejan sin coordinación o, incluso, no se vigilan en absoluto.
Con el fin de fortalecer la seguridad de Java, se está considerando crear un grupo privado que opere fuera del proceso normal de la comunidad de código abierto. Se trata del OpenJDK Vulnerability Group (Java Development Kit), un grupo propuesto que proporcionaría un foro seguro y privado en el que los miembros de confianza de la comunidad pudiesen recibir informes sobre vulnerabilidades en bases de código para luego revisarlos y corregirlos.
El grupo de vulnerabilidades y los equipos de seguridad interna de Oracle trabajarán juntos y, en ocasiones, necesitarán trabajar con organizaciones de seguridad externas. “Debido a la naturaleza delicada de este trabajo, los miembros del grupo serían bastante selectivos, habría una política de comunicación estricta, y los miembros –o sus empleados- tendrían que firmar un acuerdo de no divulgación y de licencia”, explica Mark Reinhold, arquitecto jefe de El grupo de la plataforma Java en Oracle. "Estos requisitos, en sentido estricto, violan los estatutos de OpenJDK. Sin embargo, el Consejo de Administración ha discutido esto y espero que apruebe la creación de este grupo con estos requisitos excepcionales".
Si se aprueba este grupo de seguridad, Andrew Gross -líder del equipo interno de vulnerabilidades de Java de Oracle- lo guiaría.
