Batch gebasseerde updates valt wat van te zeggen, goed en fout.
Maar ook al zeggen ze hier dat klanten die niet up to date zouden zijn worden aangevallen,
met 49 lekken van op de schaal 9,8 ben je toch ook (maximaal) een kwart jaar de Sjaak ook al ben je netjes up to date.

Van Windows/Microsoft valt ook het een en ander te zeggen, maar buiten de maandelijkse updates,
als er echt iets is wat zo een hoge prio heeft (denk dat een 9,8 daar ook onder zal vallen..) wordt dit tussentijds nog gedaan.
(waar het mogelijk is).

Ik gebruik zelf geen Oracle producten, weet niet hoe de patches hier worden aangeboden en hoeveel impact zelfs een kleine update kan hebben op alle onderliggende systemen etc.

Met het oog op Oracle's Java-binaries:
Oracle's licentiemodel is veranderd, en sinds deze CPU vallen de binaries onder het nieuwe licentiemodel. In het kort: voor commercieel gebruik en redistributie is een licentie benodigd (en uiteraard bijkomende kosten):
https://www.oracle.com/technetwork/java/javase/overview/oracle-jdk-faqs.html

Alternatieven zijn onder andere:
OpenJDK
https://openjdk.java.net/

RedHat OpenJDK
https://developers.redhat.com/products/openjdk/download

Amazon Corretto
https://aws.amazon.com/corretto/

Specifiek met het oog op language features, let op: JDK8 en JDK11 zijn LTS-versies, de nieuw verschenen JDK12 heeft een support lifetime van slechts zes maanden:
https://www.oracle.com/technetwork/java/java-se-support-roadmap.html

Zou het niet tijd worden dat het bouwen van software aan wettelijke regels moet voldoen?
Dit lijkt de IoT-ramp wel.

Vliegtuigen moeten ook aan wettelijke regels voldoen, maar sommigen vallen toch uit de lucht.
Autos moeten aan wettelijke regels voldoen, maar soms worden ze toch teruggeroepen naar de dealer.

En dat zijn branches waar al 100 jaar ervaring is met de techniek en de beveiliging.

Peter

Om er maar enkele te noemen. Maar zijn er nog veel meer. (Voor de geïnteresseerde: https://en.wikipedia.org/wiki/List_of_Java_virtual_machines)

Erg leuk om alternatieven te gaan roepen in verband met de licentiekosten.
Ik zou liever een onderling vergelijk zien in de onderliggende betrouwbaarheid en de support.
Voor jet het weet: goedkoop <-> duurkoop.

Zekers! Alles wat niet in de zakken van de heer Ellison verdwijnt, des te beter ;-)

Zonder definitie van wat je verstaat onder het criterium "onderliggende betrouwbaarheid" is zo'n vergelijk uiteraard vrij lastig tot onmogelijk. De onderstaande drie worden allen actief ontwikkeld en ondersteund.

OpenJDK
"Oracle's JDK 12 product binaries for Linux, macOS, and Windows, based largely on the same code".
Bron: https://openjdk.java.net/

"End users and developers looking for free JDK versions: Oracle OpenJDK offers the same features and performance as Oracle JDK under the GPL license."
Bron: https://www.oracle.com/technetwork/java/javase/downloads/index.html

OpenJDK is praktisch de basis van *alle* Java-implementaties. Puurder dan dit wordt het niet; dit is waar alle ontwikkeling plaatsvindt. Deze JRE/JDK is in gebruik op vrijwel alle FreeBSD- en Linux-installaties. De vaak als onveilig aangemerkte Java web plugin wordt bij deze JRE eenvoudigweg standaard niet geinstalleerd.

IBM heeft er in ieder geval ook vertrouwen in; zij leveren ondersteuning op zowel OpenJDK als hun eigen JRE/JDK:
Bron: https://www.ibm.com/cloud/support-for-runtimes


RedHat OpenJDK
Alles wat WildFly (voorheen JBoss) en/of Red Hat Enterprise Linux (RHEL) draait, draait standaard op deze JRE/JDK. Banken in de EU alsook USA zijn gretige afnemers van RHEL, en draaien niet onregelmatig WildFly als applicatieserver.

Amazon Corretto
Minstens Amazon's AWS- en Amazon.com-infrastructuur draaien hierop. Gegeven het aantal bezoekers wat beiden afhandelt, lijkt dat op z'n minst een indicator voor de stabiliteit :-)
Alexa-rank van Amazon op het moment van schrijven: nummer 10 op de ranglijst van meestbezochte websites.

Vergeet niet: Oracle's binary JRE/JDK was tot voor kort "goedkoop" als in "gratis". De licentiekosten maken het niet ineens magisch beter :D