Grâce à un forum privé sécurisé, le groupe dénommé OpenJDK Vulnerability Group pourrait permettre à des membres de confiance de la communauté de collecter les rapports sur les vulnérabilités dans les bases de code, de les examiner et de les réparer. Le groupe pourrait être également chargé de coordonner la livraison des correctifs. (Java SE, l'édition standard de Java, a été développée sous les auspices de l’OpenJDK). Le groupe de vulnérabilité pourrait travailler avec les équipes de sécurité d'Oracle et collaborer parfois avec des entreprises de sécurité externes.
Mais la constitution de ce groupe, très atypique à plusieurs égards, demande une modification préalable des règlements de l’OpenJDK. Le travail que devrait effectuer le groupe étant très sensible, le choix des participants se doit d’être très sélectif, avec une politique de communication stricte. De plus, comme l’a déclaré Mark Reinhold, architecte en chef du Java Platform Group d'Oracle, « il sera demandé aux membres ou à leurs employeurs de signer un accord de non-divulgation et un accord de licence ». Sauf que « ces modalités violent à proprement parler les règlements d'OpenJDK ». Néanmoins, Mark Reinhold se dit confiant : « le conseil d'administration a discuté de ces dispositions et je pense qu’il donnera son accord pour créer ce groupe de sécurité et le soumettre à ces clauses exceptionnelles ». Si la constitution de ce groupe est approuvée, c’est Andrew Gross, chef de l'équipe de vulnérabilité interne Java d'Oracle, qui devrait le diriger.
Améliorer la sécurité de Java
À l'heure actuelle, la communauté OpenJDK ne dispose pas de groupe organisé pour discuter des vulnérabilités de sécurité. Les entreprises indépendantes d’Oracle délivrant des produits binaires développés sur les bases de code OpenJDK, comme IBM, Red Hat et SAP, se débrouillent pour régler elles-mêmes les problèmes de vulnérabilités dans leur code, parfois avec la contribution discrète d’Oracle. Mais, l’essentiel de ces échanges concerne la distribution des correctifs plutôt que leur développement. L’OpenJDK estime que ce processus n’est pas efficace. Java a connu pas mal de problèmes de sécurité dans son cycle de vie, dont plusieurs ont été résolus par Oracle depuis le rachat de Sun Microsystems en 2010. Mais, l’an dernier par exemple, Oracle a décidé de se décharger du support du plug-in Java pour navigateur, entraînant plusieurs problèmes de sécurité dans la plate-forme.
Commentaire