Togetter/min.tを安心してお使い頂くためのガイドラインを公開しました。
2019年4月29日

OpenJDK 8u212/11.0.3 LTS以降でのリリースノートや脆弱性の追い方

OpenJDK 8u212/11.0.3 以降のLTSリリースでは、Oracle JDKと入っている修正が異なります。 これを確認するためリリースノートや脆弱性の修正状況を追ってみた話。 現状の結論としてOracle JDKは従来通りリリースノート https://www.oracle.com/java/technologies/javase/jdk-relnotes-index.html やCritical Patch Updates https://www.oracle.com/security-alerts/ を参照。 OpenJDKは https://adoptopenjdk.net/release_notes.htmlhttps://foojay.io/ の"What’s New in OpenJDK?"を参考にできますが、独自バックポートなどを含む場合もあるので、最終的には各JDKのリリースノートを確認したほうがよいです。(https://qiita.com/yamadamn/items/2dd26a014791b9557199 からリンク) なお、セキュリティ脆弱性の修正は基本的に共通で https://openjdk.java.net/groups/vulnerability/advisories/ から確認できます。(Oracle JDK 8のプロプライエタリに固有の脆弱性は除く)
4
リンク Qiita 2019年2月以降はどこを見ればJavaリリース内容がわかるのか?問題について - Qiita ※ @yamadamn さんからのコメントを元に加筆・修正してます。 ※ @yamadamn さんからのコメントのきっかけとなったツイート : https://twitter.com/msakamoto_sf/status/10891... 1 user
高梨陣平 @jingbay

Java更新に冬がやってきたとJVMの一人者であるAzulが記事を書いている。Oracle JDKはサポート契約無しに商業利用は厳禁で、Oracleの社員は更新をOpenJDK 12にしか提供しない。それより古いOpenJDKには誰かがパッチを用意しなければならない。で、Azulを使えと :-) twitter.com/HNTweets/statu…

2019-04-09 22:47:31
Takahiro YAMADA @yamadamn

@jingbay Oracleからアップストリームへの反映が多いのは確かですが、実際には更新もしていますね。(昔より量は減っているかもしれません) 認識されてるかもですがAzulの記事は、かなりビジネストークな感じはあります。一応こちらにもぶら下げておきます。 twitter.com/yamadamn/statu…

2019-04-09 23:14:20
高梨陣平 @jingbay

@yamadamn ありがとうございます。私自身はAzulの主張の正当性はわかっておりませんでした。

2019-04-09 23:17:12
高梨陣平 @jingbay

この記事、HNでも随分盛り上がってきました。やはりAWS、RedHatが更新しているとの意見。Oracle JDKとOpenJDKで現在は完全に同じで差異はないとのOracle社員。それでもjava .comは会社でブロックしたとの意見。JREの更新時にはライセンス変更が確認され、更新を拒否して使用継続も可能等

2019-04-10 00:55:39

yossato @yossato_jp

今週に2019年4月CPUのJDK 12.0.1, 11.0.3, 8u211/212, 7u221 がリリースされます。JDK 11 は無償アップデートが終わったので、OpenJDK 11.0.3 とは異なるものになりますね

2019-04-15 11:43:38
Takahiro YAMADA @yamadamn

@yossato_jp 意図と異なるかもしれませんがOpenJDK 11以降とOracle JDKは、実質的に同じものですよ。ライセンスの違いと意図的に残された起動オプションなどの違いくらいです。 oracle.com/technetwork/ja… もちろん実際に異なるディストリビューションの11.0.3がリリースされてみないと若干不透明感はあるのですが…

2019-04-15 11:51:59
yossato @yossato_jp

@yamadamn はい、11でなく、11.0.3以降のことです

2019-04-15 12:33:07
cypher256 @willbrains

@yossato_jp @yamadamn 無償アップデートを過ぎたLTSは、クローズド環境にフォークされ、セキュリティパッチも含めOracleからOpenJDKへのコミットは基本的に無いという意味になりますか?

2019-04-15 22:53:20
yossato @yossato_jp

@willbrains @yamadamn そのあたりの議論は、こちらを参照されると良いかと思います mail.openjdk.java.net/pipermail/jdk-…

2019-04-16 15:14:32
リンク mail.openjdk.java.net What does LTS mean for OpenJDK? 1
Takahiro YAMADA @yamadamn

@willbrains @yossato_jp 私もそれを懸念したので、先ほど関連する内容をOpenJDKのMLに投稿してみたところです。 mail.openjdk.java.net/pipermail/jdk-… もし11.0.3以降で他のOpenJDKディストリビューションと異なってくると、それは分断を招きかねませんよね。

2019-04-15 23:05:52
Takahiro YAMADA @yamadamn

@willbrains @yossato_jp うーん、どうやら懸念が現実になりそうです… 過去のツイートで恐縮ですが、こう発言されてたのですね。 twitter.com/yossato_jp/sta…

2019-04-15 23:26:12
cypher256 @willbrains

@yamadamn @yossato_jp その場合、Oracle以外のコミッタ各社がセキュリティパッチなどをOpenJDKに集約と思っていますが、各社バラバラにかかえて管理しだすとややこしくなりそうです。

2019-04-15 23:53:19
Takahiro YAMADA @yamadamn

@willbrains @yossato_jp おそらく他のディストリビューションは今のところGPLv2なので、それはないかと思います。 Oracle JDKとそれ以外の各OpenJDKディストリビューションみたいな形になると予想しています。 しかし、Oracle社のリリースノートなどを当てにしてきたディストロも多いと思うので、しばらくは混乱しそうです…

2019-04-15 23:55:13

Takahiro YAMADA @yamadamn

@jingbay 今更で恐縮ながら、Azulの主張は正しそうと思えてきました。 今までのPublic UpdatesはOracleも修正していたのですが、今後は入ってこないかもです。 mail.openjdk.java.net/pipermail/jdk-… つまり明後日くらいにOracleがリリースする8u211/212, 11.0.3は他のOpenJDKディストロとは若干異なる可能性がありそうです…

2019-04-15 23:49:45
高梨陣平 @jingbay

@yamadamn ありがとうございます。JDK11ユーザは12がGAになったら移行を考慮すること、2019年1月の11.0.2がOracleリードの更新のラスト、その後、 mail.openjdk.java.net/pipermail/jdk-… で社外にメンテナを求めていますね。 なるほどです。

2019-04-16 00:27:12
Takahiro YAMADA @yamadamn

@jingbay 返信ありがとうございます。JDK11以降は、以前のJDK8までのようなメジャーバージョンアップと異なり、フィーチャー(機能)リリースなので、移行はしやすいはずですが、OpenJDKと同一と言えるのは最初の6ヵ月のみのようですね。

2019-04-16 00:50:19
高梨陣平 @jingbay

@yamadamn こちらこそありがとうございます。実質マイナーアップデートなのであまり問題になっていないのかもしれません。ただ、何にせよOracleが望むユーザ企業の最新版への移行は暫くは進まないかと感じています :-)

2019-04-16 00:55:48

残りを読む(82)

コメント

Takahiro YAMADA @yamadamn 2019年4月29日
Liberica JDKのリリースノートは他のOpenJDKと異なるので、その辺りを追記してます。
0
Takahiro YAMADA @yamadamn 2019年5月1日
脆弱性は Vulnerability Group http://openjdk.java.net/groups/vulnerability/ で厳密に管理されているので、やはりOracle社のCritical Patch UpdatesやOpenJDKのリリースノートをCVE番号で紐づけて確認するのがよさそうです。
0
Takahiro YAMADA @yamadamn 2019年5月1日
最初の解説文に参照すべきリリースノートなど資料を追記しました。
0
Takahiro YAMADA @yamadamn 2019年5月3日
Red Hat Windows版OpenJDKのドキュメントが公開されていたので確認結果を追記しました。(結論には変わりなし)
0
Takahiro YAMADA @yamadamn 2019年5月5日
タイトルを違和感のないよう、8u212/11.0.3 LTSの順にして、解説文も併せて修正しました。脆弱性の修正は最優先なので、それはどちらも入る点も併せて記載しました。
0
Takahiro YAMADA @yamadamn 2020年4月16日
今更ながら解説を若干変更し、OpenJDK Vulnerability Advisories へのリンクを含めました。
0
Takahiro YAMADA @yamadamn 2020年4月16日
見出しも1年経った今となっては若干おかしいので、2019年と入れたり注釈を若干見直しました。
0
Takahiro YAMADA @yamadamn 2020年10月23日
主に解説文の情報(リリースノートへのリンク等)が最近の動向と合わなくなっていたので見直しました。
0
Takahiro YAMADA @yamadamn 2020年10月23日
OpenJDK 11 LTSのほうがOracle JDK 11より修正(バックポート)が多くなってきていることへの見解を最後の方に追加しました。
0