Allerede under Javazone 2011 i Oslo presenterte Simon Ritter fra Oracle Java 8. Da var planen at Java 8 skulle utgis mot slutten av 2012. (Bilde: Harald Brombach)

Java 8 blir trolig utsatt på nytt

Oracle må prioriterer sikkerheten.

En helt ny versjon av Java-plattformen, Java 8, skulle etter planen ha vært funksjonsferdig i januar og klar for lansering i september. Det er for lengst klart at Oracle ikke har klart å holde seg til denne tidsplanen. Mark Reinhold i Oracle forklarer her at dette skyldes at selskapet har måttet flytte utviklere vekk fra Java 8-prosjektet for å kunne håndtere alle sikkerhetsproblemene som plaget Java-plattformen den senere tiden.

– Framover er Oracle innstilt på å fortsette å fikse sikkerhetsproblemer med en akselerert takt, å bedre sikkerhetsmodellen til Java og å introdusere ny sikkerhetsfunksjonalitet. Dette arbeidet vil kreve flere ingeniørtimer enn vi kan frigjøre ved å droppe funksjonalitet fra Java 8 eller på annen måte redusere omfanget av utgivelsen på dette stadiet, skriver Reinhold. Han foreslår derfor en ny tidsplan som innebærer at Java 8 blir funksjonsferdig i mai og lanseres i mars 2014. Men dette forutsetter at man i tide greier å fullføre arbeidet rundt nettleser-relatert sikkerhet.

Det er funksjonaliteten knyttet til Project Lambda som vil være den store nyheten i Java 8. Hovedmålet med dette prosjektet er å gi Java-språket støtte for lambda-uttrykk.

Opprinnelige skulle Project Lambda ha blitt implementert i Java 7, men det ble sammen med en del annen funksjonalitet flyttet over i Java 8-planen i 2010. På det tidspunktet var det planlagt at Java 8 skulle komme i 2012.

En annen stor Java-endring som har blitt kraftig forsinket, er Project Jigsaw, et modulsystem for Java SE-plattformen. Også dette skulle ha kommet i Java 7, senere i Java 8. Men i fjor høst ble det besluttet å flytte Jigsaw til Java 9.

Dersom Java 8 blir utgitt i mars 2014, håper Reinhold at Oracle igjen kan komme inn på sporet om å utgi nye Java-versjoner hvert annet år. Da kan Java 9 komme i mars 2016.

Dagens situasjon

Oracle kom denne uken med en sikkerhetsoppdatering til Java 7. Den heter Update 21, fjerner en rekke sårbarheter og gir flere varsler til brukerne enn tidligere om kjøring av usikre Java-applikasjoner i nettleseren. Dette berører norske bankkunder som logger seg inn med BankID. Ifølge BankID skyldes dette at en del av brukerstedene har valgt å kjøre en usignert utgave av denne komponenten, som angivelig bare brukes til å sjekke hvilken versjon av Java som finnes på brukerens maskin. Brukerne må aktivt tillate kjøring av denne komponenten.

Det har gått litt sport i å avsløre nulldagssårbarheter i Java, men nå har dette angivelig ikke skjedd siden Pwn2Own-konkurransen i begynnelsen av mars. Et relativt nytt nettsted teller hvor mange dager Java har klart seg uten slik oppmerksomhet. Den forrige rekorden etter at nettstedet ble opprettet, var på tre dager. Dette er nå grundig slått.

    Les også:

Til toppen