OpenJDK 8u212/11.0.3 LTS以降でのリリースノートや脆弱性の追い方

OpenJDK 8u212/11.0.3 LTSリリースでは、Oracle JDKと入っている修正が若干異なります。 これを確認するためリリースノートや脆弱性の修正状況を追ってみた話。 現状の結論としてOracle JDKは従来通りリリースノート https://www.oracle.com/technetwork/java/javase/jdk-relnotes-index-2162236.html やCritical Patch Updates https://www.oracle.com/technetwork/jp/topics/security/alerts-086861.html を参照。 OpenJDKはMLでのリリース案内を確認するか、https://adoptopenjdk.net/release_notes.html を参照するのがよいと思われます。 なお、セキュリティ脆弱性の修正は最優先でどちらも入ります。(Oracle JDK 8のプロプライエタリに固有の脆弱性は除く)
openjdk OpenJDKソムリエ OpenJDK警察 リリースノート Azul 脆弱性 oracle Corretto AdoptOpenJDK
4
Oracle JDK/OpenJDK 4月LTSリリース前
リンク Qiita 1 user 2019年2月以降はどこを見ればJavaリリース内容がわかるのか?問題について - Qiita ※ @yamadamn さんからのコメントを元に加筆・修正してます。 ※ @yamadamn さんからのコメントのきっかけとなったツイート : https://twitter.com/msakamoto_sf/status/10891...
高梨陣平 @jingbay
Java更新に冬がやってきたとJVMの一人者であるAzulが記事を書いている。Oracle JDKはサポート契約無しに商業利用は厳禁で、Oracleの社員は更新をOpenJDK 12にしか提供しない。それより古いOpenJDKには誰かがパッチを用意しなければならない。で、Azulを使えと :-) twitter.com/HNTweets/statu…
Takahiro YAMADA @yamadamn
@jingbay Oracleからアップストリームへの反映が多いのは確かですが、実際には更新もしていますね。(昔より量は減っているかもしれません) 認識されてるかもですがAzulの記事は、かなりビジネストークな感じはあります。一応こちらにもぶら下げておきます。 twitter.com/yamadamn/statu…
高梨陣平 @jingbay
@yamadamn ありがとうございます。私自身はAzulの主張の正当性はわかっておりませんでした。
高梨陣平 @jingbay
この記事、HNでも随分盛り上がってきました。やはりAWS、RedHatが更新しているとの意見。Oracle JDKとOpenJDKで現在は完全に同じで差異はないとのOracle社員。それでもjava .comは会社でブロックしたとの意見。JREの更新時にはライセンス変更が確認され、更新を拒否して使用継続も可能等

yossato @yossato_jp
今週に2019年4月CPUのJDK 12.0.1, 11.0.3, 8u211/212, 7u221 がリリースされます。JDK 11 は無償アップデートが終わったので、OpenJDK 11.0.3 とは異なるものになりますね
Takahiro YAMADA @yamadamn
@yossato_jp 意図と異なるかもしれませんがOpenJDK 11以降とOracle JDKは、実質的に同じものですよ。ライセンスの違いと意図的に残された起動オプションなどの違いくらいです。 oracle.com/technetwork/ja… もちろん実際に異なるディストリビューションの11.0.3がリリースされてみないと若干不透明感はあるのですが…
yossato @yossato_jp
@yamadamn はい、11でなく、11.0.3以降のことです
cypher256 @willbrains
@yossato_jp @yamadamn 無償アップデートを過ぎたLTSは、クローズド環境にフォークされ、セキュリティパッチも含めOracleからOpenJDKへのコミットは基本的に無いという意味になりますか?
yossato @yossato_jp
@willbrains @yamadamn そのあたりの議論は、こちらを参照されると良いかと思います mail.openjdk.java.net/pipermail/jdk-…
リンク mail.openjdk.java.net 1 What does LTS mean for OpenJDK?
Takahiro YAMADA @yamadamn
@willbrains @yossato_jp 私もそれを懸念したので、先ほど関連する内容をOpenJDKのMLに投稿してみたところです。 mail.openjdk.java.net/pipermail/jdk-… もし11.0.3以降で他のOpenJDKディストリビューションと異なってくると、それは分断を招きかねませんよね。
Takahiro YAMADA @yamadamn
@willbrains @yossato_jp うーん、どうやら懸念が現実になりそうです… 過去のツイートで恐縮ですが、こう発言されてたのですね。 twitter.com/yossato_jp/sta…
cypher256 @willbrains
@yamadamn @yossato_jp その場合、Oracle以外のコミッタ各社がセキュリティパッチなどをOpenJDKに集約と思っていますが、各社バラバラにかかえて管理しだすとややこしくなりそうです。
Takahiro YAMADA @yamadamn
@willbrains @yossato_jp おそらく他のディストリビューションは今のところGPLv2なので、それはないかと思います。 Oracle JDKとそれ以外の各OpenJDKディストリビューションみたいな形になると予想しています。 しかし、Oracle社のリリースノートなどを当てにしてきたディストロも多いと思うので、しばらくは混乱しそうです…

Takahiro YAMADA @yamadamn
@jingbay 今更で恐縮ながら、Azulの主張は正しそうと思えてきました。 今までのPublic UpdatesはOracleも修正していたのですが、今後は入ってこないかもです。 mail.openjdk.java.net/pipermail/jdk-… つまり明後日くらいにOracleがリリースする8u211/212, 11.0.3は他のOpenJDKディストロとは若干異なる可能性がありそうです…
高梨陣平 @jingbay
@yamadamn ありがとうございます。JDK11ユーザは12がGAになったら移行を考慮すること、2019年1月の11.0.2がOracleリードの更新のラスト、その後、 mail.openjdk.java.net/pipermail/jdk-… で社外にメンテナを求めていますね。 なるほどです。
Takahiro YAMADA @yamadamn
@jingbay 返信ありがとうございます。JDK11以降は、以前のJDK8までのようなメジャーバージョンアップと異なり、フィーチャー(機能)リリースなので、移行はしやすいはずですが、OpenJDKと同一と言えるのは最初の6ヵ月のみのようですね。
高梨陣平 @jingbay
@yamadamn こちらこそありがとうございます。実質マイナーアップデートなのであまり問題になっていないのかもしれません。ただ、何にせよOracleが望むユーザ企業の最新版への移行は暫くは進まないかと感じています :-)

残りを読む(70)

コメント

Takahiro YAMADA @yamadamn 2019年4月29日
Liberica JDKのリリースノートは他のOpenJDKと異なるので、その辺りを追記してます。
Takahiro YAMADA @yamadamn 2019年5月1日
脆弱性は Vulnerability Group http://openjdk.java.net/groups/vulnerability/ で厳密に管理されているので、やはりOracle社のCritical Patch UpdatesやOpenJDKのリリースノートをCVE番号で紐づけて確認するのがよさそうです。
Takahiro YAMADA @yamadamn 2019年5月1日
最初の解説文に参照すべきリリースノートなど資料を追記しました。
Takahiro YAMADA @yamadamn 2019年5月3日
Red Hat Windows版OpenJDKのドキュメントが公開されていたので確認結果を追記しました。(結論には変わりなし)
Takahiro YAMADA @yamadamn 2019年5月5日
タイトルを違和感のないよう、8u212/11.0.3 LTSの順にして、解説文も併せて修正しました。脆弱性の修正は最優先なので、それはどちらも入る点も併せて記載しました。
ログインして広告を非表示にする
ログインして広告を非表示にする