Seguridad con log4j, arrojemos algo de luz.

 

Aquí hay un resumen rápido, sobre cómo reaccionar ante el incidente log4j:

• Si no es una aplicación de Java. No te preocupes.
• Si es una aplicación Java que no usa Log4j. No te preocupes.
• Si es una aplicación Java que utiliza Log4j 1.x. No se preocupe por estas vulnerabilidades. Por supuesto, el código más antiguo puede ser susceptible a otras vulnerabilidades.
• Si es una aplicación Java que utiliza Log4j 2.x. Java 8 (o posterior), actualice a Log4j versión 2.17.0 *.
• Si es una aplicación Java que utiliza Log4j 2.x. Java 7, actualice a Log4j versión 2.12.2 *.
• Si actualizar Log4j no es una opción inmediata, tal vez esté esperando que un proveedor lance un parche, considere mitigar hasta que las actualizaciones sean posibles.
• Estas versiones eran correctas al momento de escribir este artículo. Siga revisando la página de vulnerabilidades de seguridad de Apache Log4j para obtener actualizaciones.

Para ver más información:

• https://oracle-base.com/blog/2021/12/19/log4j-vulnerabilities-my-random-thoughts/

¿Hay vida más allá de Oracle database? Suscripción de aprendizaje del 25 aniversario de Java

 

Este es el contenido de la introducción que hace Oracle a la oferta de aprendizaje en Java, espero que os guste y que la aprovechéis.

Suscripción de aprendizaje del 25 aniversario de Java

Bienvenido a la suscripción de aprendizaje del 25 aniversario de Java de Oracle University. Oracle está celebrando el 25 aniversario del lenguaje de programación Java brindándole la oportunidad de aprender a programar usando Java SE 11. Puede estudiar los temas más importantes y fundamentales para la certificación Java y aprender de instructores expertos experimentados en su tiempo libre. Y cuando esté listo, puede registrarse para realizar el examen de certificación de Java Standard Edition 11.

Esta oferta de programación Java del 25 aniversario está destinada a aquellos que tienen alguna experiencia en programación en otro lenguaje de programación, como C #, C ++, JavaScript, PL / SQL, C, Node.js o incluso COBOL o Fortran. También es para aquellos que tienen algunos conocimientos básicos de Java y quieren ampliar o mejorar sus conocimientos. Para alguien que tomó un curso de Java hace un tiempo y realmente no lo ha usado, esto le servirá como un excelente repaso.

Y, por supuesto, si se está preparando para el examen de certificación Java SE 11, esta oferta cubre todos los temas cubiertos en el examen. Pero si es nuevo en programación y recién está comenzando, le sugerimos que tome primero el curso gratuito Java Explorer, que enseña habilidades básicas de programación, como estructura de programa, variables, tipos de datos, expresiones, toma de decisiones, bucles, clases, objetos, y mucho más. Esta es una introducción divertida y enfocada a los fundamentos de la programación con Java.

Luego regrese y aproveche la oferta del 25 aniversario para obtener el contenido y la experiencia completos de Java SE. Cuando toma esta oferta, obtiene acceso en línea a nuestra guía para estudiantes con diapositivas y notas que acompañan a las presentaciones del instructor grabadas profesionalmente. Puede detenerse, retroceder y revisar fácilmente lo que ha aprendido.

También hay tutoriales grabados de las soluciones de las prácticas que vienen con la suscripción completa de aprendizaje de Java. Puede observar y aprender mientras el instructor explica qué hace el código y por qué.

Para la certificación Java SE 11, hay un conjunto de preguntas de examen simuladas, para que pueda tener una idea del estilo y la dificultad de las preguntas reales del examen. Y cuando acceda a la página web de suscripción de aprendizaje de Java 25th, puede avanzar al mosaico de certificación para registrarse para realizar el examen. Los ejemplos y prácticas que se ven en el curso se basan en Java JDK 11 y NetBeans 11, ambas descargas gratuitas del sitio que se muestra en la pantalla.

Si eres programador y desea aprender Java más profundamente, puede intentar configurar un entorno de trabajo para probar las prácticas y los ejemplos en su computadora local. Si es un novato, como dije antes, considera comenzar con el Explorador de Java, nuestra oferta de programación básica de Java gratuita, que incluye las instrucciones para obtener y configurar una cuenta gratuita de Oracle Cloud para realizar sus prácticas. Luego, puede usar eso para probar estos ejemplos y prácticas también. Pero esto es completamente opcional y no es compatible con Oracle. La guía de práctica y laboratorio completa y el entorno de laboratorio configurado se proporcionan con la suscripción completa de aprendizaje de Java.

Hablando de eso, ¿qué sigue? ¿Qué incluye la suscripción completa de aprendizaje de Java? Bueno, creemos que una vez que haya disfrutado de la oferta del 25 aniversario de Java, querrá expandir y profundizar su aprendizaje y obtener acceso a más cursos y aprendizaje digital. Con la suscripción completa de aprendizaje de Java, obtiene acceso a un entorno de laboratorio alojado y guías de laboratorio detalladas para realizar las prácticas. Obtiene acceso a todo el contenido grabado digitalmente en la suscripción de aprendizaje, tanto el contenido actual como el contenido nuevo que se agrega o actualiza.

Puede acceder a la formación sobre las versiones actuales y anteriores de Java. Por ejemplo, algunos clientes todavía usan Java SE Standard Edition 8 y necesitan capacitación para esa versión. Tendrá acceso a todos los materiales de Java Standard Edition 8 y Java Enterprise Edition, así como a las certificaciones para SE 8 y EE 7, y los videos de preparación de la certificación grabados para ayudarlo a prepararse para su certificación. Y puede registrarse para sesiones en vivo. Estas son sesiones de capacitación semanales en vivo alojadas por Zoom, impartidas por instructores expertos en una gran variedad de temas. Esta es una excelente manera de hacer preguntas e interactuar con un instructor en vivo.

Este es el roadmap a seguir:

JRockit, Hotspot, solo puede quedar uno, ... como en los Inmortales

Un poco de historia

En 2008 BEA es comprada por Oracle, lo que causó algunas dudas en el equipo, pero aparentemente el equipo fue poco a poco ganando protagonismo y atención. Y probablemente en breve tanto lo que era la máquina virtual de Sun, HotSpot, como la de Oracle, jRockit se juntarán en una única solución mucho más potente.

Conocí a uno de los autores en un evento que organizó  BEA Systems España, y fue allí donde empecé a conocer esta Java Virtual Machine, JVM.

¿Qué es una JVM?

Una máquina virtual de Java (JVM) es un programa que traduce el código Java en el código de máquina para una plataforma de hardware específica. Las JVM son las que hacen de Java portable; una aplicación Java debe ser capaz de funcionar en cualquier JVM, aunque cada JVM está escrito específicamente para una sola plataforma.

Pero basta de de historias de la guerra del abuelo, veamos que ocurre en momentos mas actuales

Para la mayoría de los nuevos sistemas y / o desarrollo, Oracle recomienda usar JVM / JDK 7.  Java 7 release 7u55 incluye JavaFX y muchas nuevas correcciones de errores y parches de seguridad. Para la mayoría de los nuevos sistemas y / o desarrollo, Oracle recomienda usar JVM / JDK 7. A veces, se prefiere JVM / JDK 8. Java 7 release 7u55 incluye JavaFX y muchas nuevas correcciones de errores y parches de seguridad.

Las características importantes de Java 8 incluyen:

• Lambda Expressions, una nueva característica de lenguaje, que le permite tratar la funcionalidad como un argumento de método o codificar como datos.
• Las anotaciones de tipo permiten aplicar una anotación en cualquier lugar donde se utilice un tipo, no sólo en una declaración.     
• Cliente TLS 1.2 habilitado por defecto.
• Algoritmos más fuertes para cifrado de contraseñas.
• Integración con Solaris 8 y mejoras de rendimiento relacionadas.

Debes de comprobar la matriz de compatibilidad de software aplicable para obtener recomendaciones actualizadas sobre la versión recomendada para su aplicación o implementación.

¿JRockit esta aún soportado?

JRockit y HotSpot se fusionan en una sola JVM, incorporando las mejores características de ambos. El resultado será aportado gradualmente a OpenJDK. JRockit se libera bajo Binary Code License Agreement  (BCL).

Aquí hay un enlace para ver la presentación oficial de Oracle de su nueva política, si estas mas interesado.

Oracle planea soportar el último lanzamiento de JRockit 6 - R28.2.7 hasta el 2017 JRockit Support. Las actualizaciones de esta versión estaban disponibles para el público durante el tiempo JDK 6 estaba disponible para el público. Tenga en cuenta las advertencias de texto en rojo en la página de descarga, ya que esta versión no está actualizada con los parches de seguridad. No se recomienda utilizar esta versión en producción ya que las nuevas versiones Java con parches de seguridad no están disponibles en Jrockit. Aún así, se podría usar la versión pública de JRockit 6 sin un cargo, siempre y cuando se cumplan los requisitos de BCL.

Las actualizaciones de Oracle a JRockit 6 hechas después de febrero de 2013 ahora sólo están disponibles para soporte a los clientes. Si un cliente ya tiene JRockit y quiere quedarse con JRockit, Oracle recomienda mantenerlo al día con las actualizaciones de $eguridad, que ahora requieren un contrato de $oporte.

Tenemos un cliente que usa Flight recorder y Mission Control con JRockit, se van a perder estas características con JRockit.

A pesar de que Java SE 7u40 fue lanzado en el otoño de 2013, todavía hay cierta confusión acerca de las características y funciones en las últimas versiones de Java.  

El Mission Control de java (JMC) y las características de Java Flight Recorder (JFR) de JDK/JRE SE 7u40 debería ser técnicamente equivalente a JRockit Java en este momento.

JConsole ha sido una herramienta popular a través de los años y proporciona un seguimiento básico de las aplicaciones. Para una mejor integración en la pila de Oracle, intenta utilizar Java Flight Recorder y Java Mission Control combinados con WebLogic Diagnostics Framework (WLDF)

(WLDF) es un marco de monitoreo y diagnóstico que define e implementa un conjunto de servicios que se ejecutan en los procesos de WebLogic Server y participan en el ciclo de vida del servidor estándar. Mediante WLDF, puede crear, recopilar, analizar, archivar y acceder a los datos de diagnóstico generados por un servidor en ejecución y las aplicaciones desplegadas dentro de sus contenedores. Estos datos proporcionan información sobre el rendimiento en tiempo de ejecución de los servidores y las aplicaciones y permiten aislar y diagnosticar fallas cuando se producen.

Si bien puede parecer que el recorte en las opciones de la Plataforma Java reduce las opciones y la flexibilidad, la convergencia resultará una planificación simplificada. Con Java Flight Recorder y Java Mission Control incluidos en la última versión de JVM 7, los diagnósticos, el monitoreo y el análisis de eventos se pueden realizar con una versión estándar de Java con relativa confianza en futuras versiones y actualizaciones de aplicaciones.