[Java] Filter Incoming Serialization Data - a little of JDK 9 goodness available now in current release families

原文はこちら。
https://blogs.oracle.com/java-platform-group/entry/incoming_filter_serialization_data_a

JDK 9向けに開発されている新機能の一つが、JEP 290:Filter Incoming Serialization Dataです。この機能がJDK 8、7、6にバックポートされました。
JEP 290: Filter Incoming Serialization Data
http://openjdk.java.net/jeps/290
(訳注)
JDK 7、JDK 6はJava SEに対するサポート契約をOracleと締結されている方のみご利用いただけます。

着信シリアライズデータのフィルタリング方法として、オブジェクトのシリアル化に対する保護ならびに堅牢化のための層をもう一つ追加します。このフィルタリングメカニズムを使用することにより、開発者はアプリケーションがデシリアライズ可能なクラスを制限できます。ほとんどのセキュリティ機能と同様に、この新機能は現在のセキュア・コーディングのプラクティスを置き換えるものではなく、こうしたプラクティスに追加することを目的としています。
Secure Coding Guidelines for Java SE
http://www.oracle.com/technetwork/java/seccodeguide-139067.html
この機能はJDK 9の早期アクセスリリースでご利用いただけますが、現在のバージョンの利用者にもこの機能を使ってもらいたい、ということで、2017年1月のCritical Patch Update(8u121、7u131、6u141)に対しても導入されました。
Jan 2017 Critical Patch Update
http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html(英語)
http://www.oracle.com/technetwork/jp/topics/ojkbcpujan2017-3454417-ja.html(日本語)
詳細は、対応するリリースのリリースノートをご覧ください。
JDK Release Notes
http://www.oracle.com/technetwork/java/javase/jdk-relnotes-index-2162236.html

0 件のコメント:

コメントを投稿