因此,我们确实有一些 Glassfish 3 安装,但没有高级支持。Oracle 发布了重要补丁更新通知和CVE-2016-5519关于Glassfish中相同漏洞的信息也已同时发布。
据我所知,关键补丁更新仅供 Oracle 支持客户使用,并且我正在努力了解当前的 Glassfish 开发状态,因此出现了几个问题:
- Glassfish 开源项目是否有发布包含相关修复的新 Glassfish 3 版本的时间表?
- 有没有人对Glassfish 4.0/4.1 是否会受到影响发表意见?Oracle 已宣布不再为 3 之后的 Glasfish 版本提供商业支持,因此 Oracle 的公告(或 CVE)中未列出 4.x 版本并不意味着它们是安全的
- 现在是不是该敦促我们的供应商逐步淘汰 Glassfish,并用正在维护的产品取而代之?如果是,我可能会提出哪些问题,我可以合理地要求供应商做什么?
1任何有权力这样做的人,显然
答案1
免责声明:我在 Payara 工作
- Glassfish 开源项目是否有发布包含相关修复的新 Glassfish 3 版本的时间表?
除了支持合同之外,Oracle 不会以任何方式维护 GlassFish 3.x,因此 GlassFish 3.x 的开源版本不会有任何其他新版本。
- 有人对 Glassfish 4.0/4.1 是否会受到影响发表意见吗?Oracle 已宣布不再为 3 之后的 Glasfish 版本提供商业支持,因此 Oracle 的公告(或 CVE)中未列出 4.x 版本并不意味着它们是安全的
GlassFish 4.x 可能会受到影响。Oracle 仅针对以下情况发布这些公告:Oracle GlassFish 服务器,它与开源版本略有不同,因为一些错误会影响仅限商业使用的功能。
在 Payara 的调查中,我们发现其中许多确实会影响源代码,但并非全部。目前,我们已经发现并修复了 19 个安全问题(3 个已合并并待发布)。我们目前正在研究一种很好的方法来总结安全修复以及哪个版本包含哪些修复,但在我们将它们放在一起之前,我可以说我们还没有(据我所知)调查过这个问题。为了确保万无一失,我在我们的内部问题跟踪器 ( PAYARA-1253) 上提出了这个问题。
- 现在是不是该敦促我们的供应商逐步淘汰 Glassfish,并用正在维护的产品取而代之?如果是,我可能会提出哪些问题,我可以合理地要求供应商做什么?
当然,作为 Payara 员工,我会建议您转到 Payara Server!不过,在您完全将其视为我的个人偏见之前,我想指出,它是完全开源的,并且在最新的 GlassFish (4.1.1) 之上有大量新修复。3.x 和 4.x 之间的差异(除了 Java EE 7 API 差异)很小,因此您可以非常轻松地下载它并在您的应用程序中试用它。我们每季度向公众发布新版本(每月向客户发布),因此,如果确实需要您提到的 CVE 修复,它应该很快就会可用。
仅从平衡角度考虑,替代方案包括 WildFly/JBoss、WebLogic、WebSphere Liberty 或 TomEE。我想说,由于代码库共享,迁移到 Payara 可能会带来最少的麻烦。WebLogic 还与 GlassFish 共享大量 API 实现,但 WebLogic 只能免费下载和运行发展环境并需要生产使用许可证。
我当然会建议你放弃 GlassFish 3.1.2,尽管它已经过时了,而且越来越老了。你最终需要迁移,而且现在已经发现了许多安全漏洞,但开源版本中并没有修复这些漏洞。最终,迁移到哪个版本取决于你。