Комментарии 85
безопасности в "российской java" ещё меньше, чем в открытой
Ну что вы сразу, у парней своё казино с феями.
Вот начнёт какое-нибудь ООО разрабатывать софт, а у них бац и прибыль закончилась по различным причинам. Они то перерегистрируются, людей разгонят-наберут. А вот что делать клиентам такого софта?
Посмотрим кстати что там у ООО"Белсофт" по прибыли?
Или это всё временно?
На сайте вендора предлагаются актуальные версии jdk, не нашел для них undisputed уязвимостей по базе MITRE
Проходит ли JDK от axiom официальные тесты Java Compatibility Kit (a.k.a., the JCK)?
чтобы получить JCK нужен договор с Ораклом и не мало заплатить, думаете они это сделали?
Да у каждого производителя свои тесты, которыми они проверяют прохождение и JCK и того что делают.. Насколько я знаю, это всё делают всё те же ребята, которые раньше входили в пятёрку крупнейших контрибьютеров openjdk
Но тут конечно кладезь токсичных комментариев ниже :) Видимо судьба всех кто не захотел уезжать и закрывать бизнес
Вот например они же - https://www.youtube.com/watch?v=dV_tEDrIDIs&ab_channel=JPoint%2CJokerиJUGru
Свои тесты - это хорошо, я же не спорю, что специалисты в аксиоме достаточно квалифицированы. Но если не проходить официальные тесты на соответсвие стандарту, то со временем появятся местные особенности, напороться на которые в работе не хотелось бы.
а jck, судя по инструкции https://openjdk.org/groups/conformance/JckAccess/, без подписания соглашения с ораклом не получить. Вот и хотелось бы узнать - аксиомовцы смогли обойти нежелание оракла работать с россиянами? или просто надеются, что справятся "своими" тестами?
Безопасность-безопасность.
Краеугольный камень, чтоб работало. А безопасность чья?
Приложения или государства? )))
Госконтора изобрела 8java.
ЕДИНЫЙ ЦУПИС
Ильфом и Петровым повеяло.
А почему, кстати, Libercat нет в открытом доступе? Там что-то секретное?
Ядро Libercat основано на tomcat, ничего секретного в этом, разумеется, нет и об этом указано на странице продукта https://axiomjdk.ru/pages/libercat/ . Дополнительные компоненты сервера приложений, связанные с удобством использования, которые сейчас активно разрабатываются (деплой из web-консоли, управление жизненным циклом приложения, настройка, мониторинг) являются преимуществом, частично облегчающим миграцию с больших аппликейшн серверов.
Вам бы политику лицензирования пересмотреть. Платить за каждый инстанс каждого микросервиса это глупо. На такое подпишутся только те у кого совсем выбора нет.
У кого бензопила большая, им как раз такое надо
Удивляют люди, которые приходят на Хабру и такие "А что случилось?", "Ой, да вы что?". Кажется, никто не понял, что скоро можно будет открывать храм Безнопилы. И проводить чемпионаты по откатам, с такими-то возможностями.
Собственно говоря, и от компании что взять? Блог на Хабре на 5 статей. Самая популярная на +14. Просмотров от 1 до 8 тысяч на статью. Кому оно надо? Это же просто для галочки всё делается.
Не нашел такого в лицензионной политике https://axiomjdk.ru/license-policy/ судя по политике нужно лицензировать хост или ноду, а не каждый микросервис
Niet, Molotoff!
адаптация под новые условия работы с зарубежными вендорами и с open-source сообществом в целом
Надо же, а что случилось?
Вопрос, они свои патчи багов в апстрим openjdk пушат?
ЦУПИС такое смешное слово
Несмотря на сложные вызовы этого года, российские разработчики имеют все возможности
занять очередь в пятницу.
Опенсорсная джава куда коммитит куча разнабов забесплатно имеет кучу уязвимостей и их количество растет. Поэтому если ее импортозаместить (то есть значительно уменьшить количество людей которые будут ей пользоваться и коммитить) то количество уязвимостей магическим образом начнет уменьшаться. А ведь правда, меньше людей пользуется, меньше уязвимостей находят
А если ещё и уязвимости публиковать негде, то вообще безопасность на высоте.
А если ещё и сажать за дискредитацию отечественных программистов...
Нашедший уязвимость всегда может послать информацию об этом либо вендору, либо в открытый проект, либо на худой конец, в зависимости от «религиозных» убеждений, в MITRE/CNVD/БДУ ФСТЭК.
С уваженьем… Дата. Подпись.
Отвечайте нам, а то,
Если Вы не отзовётесь,
Мы напишем… в
Спортлотоцентр учета и перевода интерактивных ставок!
Как раз наоборот - небольшое для такого проекта количество разработчиков, работающих в разных организациях https://db.openjdk.org/people, активных еще меньше. Количество уязвимостей, о которых становится известно, не может уменьшаться - оно растет в любом продукте. Они могут быть открытыми, закрытыми, применимыми или нет к той или иной версии или продукту. Ключевым вопросом является исправляются они или нет, и насколько быстро.
Что такое вообще цупис? Звучит максимально нелепо и смешно.
Это нелепая аббревиатура: центр учета и перевода интерактивных ставок.
ставок на что??
Ставки на спорт! 1ИКСБет! /s
Действительно, стоило уточнить, но тут уже всё разъяснили.
По этому цупису целая тема была на ныне почившем (окончательно?)
форуме о ставках forum.byw.ru, тут и его основатель @smartpunter присутствует.
Ставки сделаны, ставок больше нет!
Я что, первый погуглил, что такое это смешное ЦУПИС? )) Это реально нечто стыдное )))
"Единый центр учета и перевода интерактивных ставок – это организация, которая выступает посредником между клиентом и букмекерской компанией при пополнении баланса и выплате выигрышей. «ЕДИНЫЙ ЦУПИС» отвечает за все транзакции между клиентами и БК."
А скоро (судя по всему) будут господряды получать.
Азино «Три топора»?
ЦУПИС — это аббревиатура, а Единый ЦУПИС — это платежный сервис в спортивной индустрии. А вообще мы — высоконагруженная финтех-платформа, делаем более 20 релизов в сутки. Но можем, конечно, и шутки пошутить)) А нелепым и стыдным можно назвать все что угодно. Мы не обиделись)
Ну если высоконагруженность считать по количеству релизов в сутки... То да... :-)
интересно, с каких пор букмекеры из жалких уголовников стали частью спортивной индустрии..
Эко, вы букмекерский бизнес "спортивной индустрией" назвали!
Жаль, что вы не смогли договориться с Бетфэйром об их работе здесь.
Не сошлись в цене (процент с прибыли/оборота), или чисто политика?
Перевода Интерактивных Ставок Единый Центр (П.И.С.Е.Ц.) - коряво, да... Но хорошо описывает сложившуюся ситуацию.
Конечно же, используются регрессионные тесты, которые могут выполняться десятки часов, санитайзеры типа ASan (утечки памяти) или UBSan (неопределенное поведение). Для фаззинга нативного кода используется AFL++, а для Java-кода — JQF и Jazzer. В общем, используется полный набор инструментов и подходов, которые позволяют найти даже самые хитрые баги.
А где можно посмотреть код фаззинг-тестов и покрытие кода после фаззинг-тестирования?
В статье по ссылке лишь общая информация про фаззинг.
Сервера приложений позволяли реализовывать идеальный DevOps еще в те времена, когда Kubernetes не родился.
Правильно люди говорят, раньше было лучше :-)
Зря конечно Libercat не назвали Barsikcat по аналоги c Tomcat
А какие варианты, если в гос и правда требуют по из реестра? Эти хоть на слуху...
Куда деваться-то? Грубо говоря, из другой темы пример, Континент хуже Cisco, но, как показала практика, намного лучше, чем совсем ничего.
Методические рекомендации явно разрешают OpenJDK https://ru-ikt.ru/metodic
что такое OpenJDK? - это проект где геняртся исходники технологии Java SE, это не готовая программа, которую используют, так что все правильно, запрещать проект глупо. А из этого проекта уже делают программы. Кто делает? - разные компании, как правило все компании находятся в юрисдикции США или Европы и только один лучик света, наш родной - Axiom JDK. Ребята не убежали, как многие, и развивают экспертизу в стране, уникальную экспертизу и делятся ей.
А какие варианты, если в гос и правда требуют по из реестра?
Увольняться и не пачкать руки.
Потеряли меня после "страшного" графика "соотношение созданных и решенных задач сильно склоняется к нерешенным." - там же явно на графике видно что задачи создлаются и решаются примерно в одном темпе. Что за бред?
А я вот явной связи между "ПО отвечает требованиям" и "ПО только из реестра" не просматриваю... Может у меня с логикой проблемы? :-)
российские разработчики имеют все возможности хорошо подготовиться к ближайшему будущему
Вы таки угрожаете?
Это не мы воры, это мы просто шильдики перевешиваем.
Liberica JDK от
BellSoftLiberica JDK is based on OpenJDK with additional enhancements to boost performance, security and compatibility with different platforms. Another key difference is the reliable support BellSoft provides for their build of JDK, which does not exist for OpenJDK.
The world’s best supported builds of OpenJDK.
Достойные последователи дела г-на Попова!
Жесть, хейтерочки и несмешные юмористы нашли друг друга в этом посте
Можно ли в КИИ использовать модули, полученные из зарубежного maven репозитория? Есть ли отечественный maven репозиторий? Или в КИИ достаточно только использовать Axiom JDK Certified?
Лучше бы российскую Windows 10 выпустили.
Золотая жила же.
Дистрибутив с Болгеносом в комплекте?
Из самой статьи так и не стал понятен ответ, чем данный вариант более безопасен? К тому же более "закрытые" реализации чего-либо обычно наоборот менее безопасны.
Переходим на российскую Java. Что это такое и зачем нужно?