Oracle JRE 8の商用無償版EOLの話をするには、政府CIOの「Javaのサポートポリシー変更等に関する技術レポート」がオススメ
-
- いいね!587
Takahiro YAMADA
@yamadamn
この点も先にツイートした通り、セキュリティパッチを提供するのは従来Oracleが中心的な役目でしたが、JDK 11ではOpenJDKに有償・無償機能を含めてすべて寄贈したり、非推奨・削除することで基本的な差異はなくなっています。 そのためRed Hatを中心としてOpenJDK 8/11が修正される動きも出ています。 twitter.com/shao1555/statu…
2019-04-28 02:48:03
shao as a service
@shao1555
Oracle のドキュメントをみると「これからは JRE のサブセットをバンドルして一緒に配布するといいよ」 oracle.com/technetwork/jp… としているみたいだけど、その場合は Java のセキュリティアップデートが到来する度にすべてのバンドルを更新してユーザにアップデートを促す必要があるよね。おかしい。
2019-04-22 02:54:15
Takahiro YAMADA
@yamadamn
また、アプレットやWeb Startなど攻撃されやすいコンポーネントをJDK 11から削除したことで、以前より格段にセキュリティリスクは減ると思います。 パッチ適用を判断し対応するのは、アプリの提供者側の役目ですが、実際には先に述べた通り、JREとの依存関係で適用できないところも多かったはずです。
2019-04-28 02:48:03
Takahiro YAMADA
@yamadamn
JavaFXを含むクライアント側で動くJavaアプリについては賛否両論はあるでしょうが、分離したことで、自分でOpenJDKに組み込むことができますし、バンドルするディストリビューションも複数出てきています。開発も活発に続けられており、最新はOpenJDKと同じくOpenJFX 12がリリースされています。 twitter.com/shao1555/statu…
2019-04-28 02:53:06
shao as a service
@shao1555
Oracle、JavaFX もやめてしまったし、クライアント側で動く Java アプリケーションはなかったことにしたいのかな。にしても葬り方が雑すぎる。。。
2019-04-22 02:35:52
Takahiro YAMADA
@yamadamn
JREアップデート時の注意勧告は1月からだったはずで確かに遅いのですが、あくまで商用利用の話であり、個人かつ公的利用は問題ないはずです。 ライセンス解釈は難しいですが、logico-jp.io/2019/04/25/wha… が参考になり、先のe-Taxや電子政府の利用者である我々国民側がすぐに気にする必要はありません。 twitter.com/shao1555/statu…
2019-04-28 03:01:10
shao as a service
@shao1555
JREバンドルにせよ脱Javaにせよ、HTML5の仕様内で作り直すにせよ、それらの選択肢を取れるのは開発者サイドであって、ランタイムのマイナーアップデートでライセンスに関する注意勧告を受けてもエンドユーザーは何もできないでしょ。。
2019-04-28 02:35:57
shao as a service
@shao1555
@yamadamn はい、新しいシステムが Java の依存性を切っていることは承知してます。ただ e-tax を契機に Java をインストールしたエンドユーザーが、自動アップデートのタイミングでこのような専門的な知識を必要とする画面に遭遇する作りがよくないなと思った限りです。
2019-04-28 02:29:22
Takahiro YAMADA
@yamadamn
@shao1555 返信ありがとうございます。ライセンスの話は先にリプライしたのですが、少なくても電子政府やe-Taxでは問題ないと想定しています。 とはいえ元々アプレット依存だったはずで、どちらも.NET FrameworkやWeb版に置き換えられた認識です。(この辺りは詳しくないので間違ってたらすみません)
2019-04-28 03:03:32
shao as a service
@shao1555
@yamadamn ランタイムをバンドルする技術どれもそうですが、これまでランタイム側の自動アップデートで依存してるアプリ全部対策できたのが個別になるとどうしても抜け漏れ出るな、と思ってます。(Javaだけでなく、Electron / nw.js 配下のChromiumでも同様のリスクを感じてる)
2019-04-28 02:58:57
Takahiro YAMADA
@yamadamn
@shao1555 なるほど。その辺りは確かに難しそうですね。 ただ、アップデートの問題は、一義的にはアプリの提供側が管理しなければならない、ということで仕組みの変更とは無関係なようにも思えます。過渡期ならではの難しさがあるのは確かだとは思います。
2019-04-28 03:05:47
shao as a service
@shao1555
@yamadamn e-tax、個人の確定申告用途であれば personal use なんですが、個人事業主や法人申告の用途だと業務の一環なのではないかという懸念がありますし、電子入札なんかは、、、と思ったら国土交通省電子入札システムだけは名指しで許可されているの知って笑いましたw oracle.com/technetwork/ja…
2019-04-28 08:32:04
Takahiro YAMADA
@yamadamn
@shao1555 あー、なるほど。その視点は抜けていました。ありがとうございます。 ただ、もうJavaアプレットはないでしょうし、関係ない気もしますねw あと国土交通省の件は多分これですかね。 tech.nikkeibp.co.jp/atcl/nxt/cpboo… (この記事は"脱Java"を煽ってて相当酷いので私的にはフェイクニュース扱いですw)
2019-04-28 08:40:37
shao as a service
@shao1555
@yamadamn 現にJREは多くの一般ユーザーがインストールしてしまったわけで、過渡期をどうのりこえればいいのか、開発者だけでなく一般ユーザーにもOracleがわかりやすく説明すべきだと思ってます。
2019-04-28 08:52:38
Takahiro YAMADA
@yamadamn
@shao1555 ビジネスもあるので、なかなか難しいとは思いますけどねw 実際のところ無償版EOLと有償サポートはSunの時代からありましたし。 べき論はキリがないのですが日本であまり考えずにIE11やJREを使い続けてきたところにもあると思ってます。今だと海外ではそんなに問題になっていない印象です。
2019-04-28 09:29:47謝辞
Takahiro YAMADA
@yamadamn
私は多くの方 (不快な思いをさせた方もおり申し訳ないです) とやり取りしているのですが、特にセキュリティ的に新たな視点を得られたのは @ottoto2017 さんのこちらのリプライがきっかけだったと思います。ありがとうございます。 twitter.com/ottoto2017/sta…
2019-04-28 06:58:24
OTTOTO
@ottoto2017
@yamadamn そうですね。Bad Actorの踏み台になる古いJREの強制配布を止め、その変わり、アプリごとに最小限のJREをバンドルする方針は、セキュリティ上は良い方法だと感心しています。なんとかOracleの意図を皆さんが受け入れたら良いのにと思っています。開発環境はOpenJFXが入ると少し癖がありますが。
2019-01-29 13:47:11
Takahiro YAMADA
@yamadamn
また、私の把握している限り @miyakawa_taku さんがJava女子部向けに話したセッションが、様々な要素をキャッチアップして、まとめられています。 特に今回の件では "Write Once Run Anywhereの担い手という役割は縮小している" がポイントですので是非ご一読ください。 speakerdeck.com/miyakawataku/j…
2019-04-28 07:05:08
Takahiro YAMADA
@yamadamn
今回追記したOracle JREライセンス変更への誤解に対しても含め @strategic_vivi さんの視点や意見にはかなり気づかされることが多いです。 今回も以下のリプライをされていました。 twitter.com/strategic_vivi…
2019-04-28 07:19:06
星の海のビビ(Vivi)
@strategic_vivi
@shao1555 @miyahancom これはプロダクト側が悪くて、使用するJDK(JRE含む)を再頒布前提の組み込み版にすべきだったのでしょうね。 もともと商用用途の Java は有償ですな。
2019-04-22 08:33:31