無法消除Java安全漏洞的甲骨文備受指責(zé)，但是，對(duì)急速拓展商務(wù)的Oracle而言，也有它的苦衷-無法為非收益來源的Java進(jìn)行足夠的安全投資。

政府發(fā)出的使用軟件禁止令對(duì)企業(yè)來說，是最不愿發(fā)生的情況，而在2013年1月10日（美國時(shí)間）甲骨文公司就發(fā)生了此事。美國國土安全部（DHS）警告必須卸載客戶端PC的Java ，因?yàn)镴ava 的脆弱性已對(duì)所有的計(jì)算機(jī)用戶構(gòu)成重大的威脅。

陸續(xù)發(fā)現(xiàn)的安全漏洞，使Java的聲譽(yù)嚴(yán)重受損。近日卡巴斯基的安全研究人員宣布在“Java 7 Update ”10發(fā)現(xiàn)紅色十月攻擊（Red October）。這個(gè)Exploit(漏洞利用)入侵世界各國政府機(jī)關(guān)的數(shù)百臺(tái)客戶端PC，已經(jīng)活動(dòng)了幾個(gè)月。

雖然Oracle發(fā)布了最新版的Java 7 Update 11，但之后不久一些安全專家指出，這個(gè)修改補(bǔ)丁也存在安全漏洞，因此，美國國土安全部再次發(fā)出警告：“除非用戶必須在網(wǎng)絡(luò)瀏覽器上使用Java程序，而其他用戶為了抵御當(dāng)前和未來的Java漏洞，在更新7u11（Java 7 Update 11）后，應(yīng)當(dāng)關(guān)閉Web瀏覽器中的Java，因?yàn)镴ava軟件的安全更新也無法保證計(jì)算機(jī)不再被黑客攻擊,。”

美國網(wǎng)絡(luò)安全公司Rapid7的首席技術(shù)官（CSO）莫爾(HD Moore是一名杰出的軟件漏洞研究者和著名黑客) 對(duì)路透社表示，Oracle最長需要2年時(shí)間才能完全修補(bǔ)現(xiàn)行版Java漏洞，與此同時(shí)，莫爾還建議電腦用戶從計(jì)算機(jī)卸載Java軟件。

事實(shí)上，這些并不是新的問題，Java漏洞利用問題由來已久且其數(shù)量也很多。俄羅斯著名的反病毒工具卡巴斯基(Kaspersky)的“IT威 脅進(jìn)展（IT Threat Evolution）”報(bào)告就顯示，2012年第三季度，56%的嗅探攻擊利用了Java漏洞，Kaspersky的專家也嚴(yán)厲批評(píng)Oracle。

Kaspersky Labs高級(jí)研究工程師Roel Schouwenberg嚴(yán)厲批評(píng)甲骨文公司，建議用戶應(yīng)當(dāng)立即卸載Java。他指出，目前很多企業(yè)在不同程度上不斷改善其安全對(duì)策，但這些年來，在安全方面甲骨文公司則完全停止了努力，它既沒有提高軟件的安全性，而且，它的更新機(jī)制也沒有得到改善。甲骨文對(duì)安全漏洞的對(duì)策非常不足，比如，竟然對(duì)可以輕而易舉修改的安全漏洞幾個(gè)月都置之不理。

不斷出現(xiàn)安全漏洞的Oracle，不禁讓人產(chǎn)生疑問- 究竟Oracle有無資格充當(dāng)Java語言程序的監(jiān)護(hù)公司？

Oracle是一家行動(dòng)緩慢且慎重的商務(wù)軟件行業(yè)的企業(yè)，它和微軟公司有很大的不同-它沒有像微軟公司那樣長期受到黑客攻擊的經(jīng)驗(yàn)，而微軟公司20多年來一直備受黑客困擾，因此，對(duì)迅速應(yīng)對(duì)安全漏洞的重要性有足夠的認(rèn)識(shí)。

Oracle也有支持者

盡管有重大安全問題，甲骨文也不乏其擁護(hù)者，比如美國市場(chǎng)研究公司Technology Business Research分析師Elizabeth Henry就支持甲骨文。他認(rèn)為，最終甲骨文的問題會(huì)得到解決。但只集中解決Java問題并不是一個(gè)好辦法，要想解決甲骨文的問題，需要對(duì)所有的必要功能實(shí)施最優(yōu)化的改革，而這將是一個(gè)綜合性的長期的工作。

Oracle在不斷擴(kuò)大其商務(wù)活動(dòng)。甲骨文比2010年收購Sun Microsystems獲得Java時(shí)相比，其業(yè)務(wù)呈現(xiàn)出多元化。因此，目前甲骨文正準(zhǔn)備對(duì)公司的產(chǎn)品實(shí)施端到端（End-to-End ）整合，其中也包括Java。

與此同時(shí)，Elizabeth Henry指出，自從甲骨文開始提供云計(jì)算服務(wù)后，更加重視安全問題。他解釋說：“應(yīng)對(duì)云計(jì)算黑客必須行動(dòng)迅速，因此，甲骨文在拓展公有云的同時(shí)，不得不強(qiáng)化Java。甲骨文在提供Java服務(wù)，估計(jì)對(duì)本地機(jī)也會(huì)采取相應(yīng)的對(duì)策。”

另一方面，美國市場(chǎng)調(diào)查公司Enderle Group首席分析師Rob Enderle則認(rèn)為，Oracle應(yīng)將Java賣給谷歌公司，不應(yīng)對(duì)毫無收益的產(chǎn)品緊抓不放。他說：“甲骨文的執(zhí)行長Larry Ellison是非常重視（盈虧）數(shù)字的人?，F(xiàn)在雖然損失小，但照此下去它今后肯定會(huì)成為沉重的負(fù)擔(dān)。”

他補(bǔ)充說：“顯而易見，美國安全部已提出警告這一事實(shí)，對(duì)任何供應(yīng)商來說都會(huì)產(chǎn)生負(fù)面影響。”

Microsof和Google以及Apple公司積極監(jiān)控本企業(yè)操作系統(tǒng)的漏洞利用。與Red October相關(guān)的Java 漏洞利用就是偶然被人發(fā)現(xiàn)，其攻擊已活動(dòng)好幾個(gè)月。 Enderle認(rèn)為甲骨文對(duì)無法帶來投資收益的產(chǎn)品，不會(huì)耗費(fèi)資金和勞力。

他說：“Oracle并沒有從Java得到很大利益，雖然會(huì)有可能從谷歌搶到很小的市場(chǎng)份額，但目前進(jìn)展并不順利。甲骨文應(yīng)將Java賣給谷歌，估計(jì)谷歌會(huì)非常高興獲得Java。”（金順英/譯）