Het is wel heel arrogant van Oracle om te beweren dat ze een uitgebreide regressietest moeten doen zonder eerst naar het lek en de oplossing te kijken. Regressietesten zijn goed, maar je moet je wel afvragen wanneer ze nodig zijn en wat de belangen zijn om desnoods je schema om te gooien en eerder met een fiks te komen. Het lijkt er op dat Oracle er nu behoorlijk naast zit.

Zeer arrogante club dat Oracle ! Laten we ook gelijk meneer Larry Ellisons houding en gedrag eens onder de loep nemen, want deze it-cowboy met zijn vereniging leven nog in de dagen van het 'Wilde Westen' van de it-business en denken, dat zij nog steeds alles kunnen maken.

Als ze zo goed in testen zijn... Dan had dat lek er toch nooit in gezeten?

-edit- verkeerd gepost :) excuses

Roepen dat het in minder dan 30 minuten kan worden opgelost en dat er geen integratietests nodig zijn vind ik erg kort door de bocht, daarvoor heb ik veel te veel productieproblemen meegemaakt die veroorzaakt waren door ontwikkelaars die dachten dat ze de impact van hun wijziging overzagen en grondig testen daarom niet nodig vonden. Zelfs als iets zo simpel is dat je denkt dat je alles overziet wat er maar aan te overzien valt kan je er behoorlijk instinken. De opmerking dat de codelogica niet is aangepast riekt naar incompetentie, natuurlijk is die aangepast, als de code zich exact hetzelfde had gedragen als voor de wijziging had het lek er nog ingezeten, dat is onderdeel van het oude gedrag. En het venijn zit in die aspecten van het gedrag waarvan je denkt dat die nooit impact kunnen hebben.

Voor in-house-applicaties was ik (toen ik dat werk nog deed) gewend dat productieverstoringen binnen een uur opgelost moesten zijn. In een uur kan je niet alles dekken. Maar dat waren applicaties die maar op één plek gebruikt werden (een mainframe), en waar je met je neus bovenop zat. Mocht je door de aanpassing onverhoopt een nieuwe storing veroorzaken dan was je daar meteen bij.

Een platform als Java is een ander verhaal. Als je daar, hoe klein de kans ook is, een nieuwe fout introduceert die wereldwijd klanten platlegt dan heb je echt een probleem. Bedenk dat Java ook, en vooral, veel op servers wordt gebruikt. Dat is niet meer een kwestie van even herstellen en doordraaien. Ik snap volkomen dat een leverancier eist dat elke wijziging, hoe lullig ook, grondig getest wordt voor hij wordt uitgerold.

Maar dat dat vier maanden moet duren? Kom nou! Alsof een beveiligingslek niet urgent is. Hebben ze geen unit-tests klaarliggen? De bulk van het testwerk moet automatisch uitgevoerd kunnen worden, en je maakt mij niet wijs dat dat een doorlooptijd van maanden heeft. Security Explorations overdrijft hoe makkelijk je een wijziging door kan voeren, maar Oracle maakt hier voor de zoveelste keer de indruk er volledig met de pet naar te gooien of de grip over het ontwikkelproces verloren te hebben. Geen wonder dat het tegenwoordig dweilen met de kraan open is bij Java.

Redactie schreef: geen invloed op applicaties van derden

Dat kan wel zo zijn. E-businees is echter niet van een derde partij, maar van Oracle zelf. Zij willen zich juridisch volledig indekken, het rechtssysteem van de VS kennende.

Het probleem is niet dat het 4 maanden zou kosten om deze fix te testen, het probleem is dat het te lang zou kosten om deze fix nog mee te krijgen in de vorige update (9) en dat het nu 4 maanden gaat duren voor de volgende update uitkomt.

Dat is gewoon een beslissing van een pennelikker bij Oracle, niet de tijdsduur die het kost om te testen.

Tja - je kan het wel arrogant noemen van Oracle, maar zijn voornamelijk security mensen niet heel erg voor het volgen van procedures, liefst met auditable records? Je kan toch niet zomaar naar een change in je software kijken en roepen "oh, dat rammel ik er wel effe doorheen en implementeer ik op 3 miljard apparaten"? (dat laatste getal kwam van Oracle zelf, bij de installatie van java). Eigenlijk zou de grootte van een change niet van invloed moeten zijn op het proces - groot of klein, in beide gevallen doorloop je de complete cycle van development en testing...

Java?
Wie heeft dat vandaag de dag nog op zijn PC geinstalleerd???
Alleen digibeten neem ik aan.
Iemand met een beetje bewustzijn draait die troep niet meer.
Al jaaaaaaren van mijn PC en komt er NOOIT meer op ook!

Ik hou het erop dat deze "gaten" bewust zijn gecreëerd door Oracle voor customer software onderhoud waarbij ze "on the fly" code kunnen aanpassen. Ze kunnen in dat geval dus niet zomaar een gat dichten zonder een nieuw alternatief gat te creëren. De laatste update geeft al aan dat ze hier prima in geslaagd zijn. Dat slimmeriken misbruik van deze gatenkaas maken, daar hadden ze helaas niet op gerekend.

Elk softwareproduct van zekere omvong bevat per definitie bugs. Hoe meer code, hoe meer kans op schadelijke bigs waar misbruik van gemaakt kan worden. Dat is helaas niet te voorkomen. Java van bv. een Mac verwijderen is voor een deskundige al niet aan te raden, laat staan voor digibeten. Dam haal je zoveel functionaliteit weg dat nuttige of zelfs noodzakelijke applicaties niet meer werken. Einde verhaal voor bv. zzp'ers en (middel)grote bedrijven.

Het zal altijd een kat-en-muis-spel blijven tussen goedwillenden als bonafide ontwikkelaars, beveiligers e.d. en kwaa kwaadwillende hackers en andere inbrekers als marketeers enzovoort.

Schadelijke bigs? werk je voor de KPN of zo? http://www.youtube.com/watch?v=ANPo2qmIUg8
On topic, Java is eigenlijk niet meer weg te denken, maar als een bug zo simpel is te repareren en meer dan een miljard gebruikers potentieel gevaar lopen tot de volgende patchronde, dan zijn ze toch verkeert bezig bij Oracle.