27 de septiembre de 2007

Sun cambia su política de lanzamiento de parches de seguridad


Sun ha anunciado que comenzará a notificar anticipadamente sus actualizaciones de seguridad para Java SE (Standard Edition). Además, abandonará la política de liberar sus parches Java de forma escalonada para los diferentes segmentos de mercado, una práctica que ha sido objeto de críticas en los últimos tiempos.

En un principio, la compañía hacía disponibles sus parches en una primera fase sólo para su prueba por parte de los desarrolladores, ofreciéndolas al usuario final una vez se había comprobado su óptimo funcionamiento. Sin embargo, según muchos expertos, este modelo de lanzamiento “en etapas” dejaba innecesariamente indefensos a los usuarios durante un tiempo.

El pasado julio, por ejemplo, el CTO de eEye Digital Security, Marc Maiffret, acusó a Sun de dejar pasar meses entre el lanzamiento de algunas versiones de su desktop Java. En enero, eEye descubrió un fallo serio de seguridad en Java Network Launching Protocol, utilizado para correr programas java sobre la Web, y Sun liberó el parche correspondiente para sus desarrolladores varias semanas antes de ofrecerlo a la comunidad Java en su conjunto.

De ahora en adelante, Sun seguirá una nueva estrategia, similar a la adoptada por el grupo de seguridad Microsoft, informando con antelación de sus actualizaciones y liberando los parches de manera simultánea para todas las plataformas Java SE soportadas por la compañía.

Las notificaciones de Sun sobre sus futuros parches no seguirán, en cualquier caso, un programa con fechas predefinidas, como ocurre con los boletines de Microsoft y Oracle. Según portavoces de Sun, serán emitidas la semana anterior al lanzamiento de las actualizaciones. Los usuarios pueden recibir las notificaciones vía e-mail o leer su contenido en el blog de seguridad de la compañía.