Instrucións principais da plataforma Azul

Núcleo da plataforma Azul

Especificacións

• Nome do produto: Software Java
• Fabricante: Oracle
• Versión: SE
• License Agreements: No-Fee Terms and Conditions, GNU General Public License, Oracle Binary Code License, Oracle Technology Network

Información do produto
The Java software comes with various license agreement programs provided by Oracle, offering different levels of support and licensing options.

Instrucións de uso do produto

• Ataques de seguridade e soporte
  It is crucial to have proper support for your Java software to prevent security exploits and ensure compliance with regulations. Consider purchasing support from a licensed JDK provider to receive  security patches, legal documentation, and assurance of compliance.
• Escolla e complexidade
  When choosing a JDK distribution, consider the support policies and compatibility with different Java versions. Evaluate various providers based on the Java versions they support, platforms they are compatible with, and the duration of support for each version.
• Versións de Java
  Ensure that the JDK provider supports the Java version you are using or plan to use. Check for Long-Term Support (LTS) versions and the availability of updates for older versions.
• Plataformas compatibles
  Verify if the JDK distribution supports the operating systems and processors used in your environment. Compatibility with mainstream platforms like Linux and Windows is essential.
• Duración do soporte
  Determine how long a specific Java version will be supported by the provider. Consider the support lifecycle roadmap provided by the JDK distributor.
• Actualizar dispoñibilidade
  Check the frequency of updates released by the JDK provider to ensure timely fixes for any vulnerabilities or issues in the Java software.

INTRODUCIÓN

• Durante medio século, o mundo do código aberto permitiu aos desenvolvedores de software facer avances significativos na creación de aplicacións de software cun custo persoal mínimo ou nulo. Isto provocou unha onda de produtividade no desenvolvemento de aplicacións de software, especialmente nos círculos comerciais. Por exemplo,ample, Java, open-source since 2007, is the number one language for overall development today, with more than 60 billion active Java Virtual
• Machines (JVMs) and 38 billion cloud-based JVMs (Source: JavaOne 2022).
• Non obstante, durante ese mesmo período, as organizacións de TI déronse conta pouco a pouco de que isto non supón un "custo operativo cero na produción".
• Fundamentalmente, o custo operativo provén de tres fontes: descubrimentos de seguridade e vulnerabilidades, problemas de cumprimento e preocupacións sobre a propiedade intelectual.
• Outros custos operativos aparecen en forma de actualizacións de seguridade, como a vulnerabilidade crítica de Log4j que sorprendeu a todos en 2021. A aplicación de parches de vulnerabilidades e/ou a actualización do software subxacente é claramente un esforzo que non ten custo cero, pero as organizacións aínda adoitan sorprenderse polo alto prezo. tag, especialmente cando precisan que o seu provedor de pila Java produza unha versión inmediata para corrixir un defecto. En agosto de 2022, por exemploampé dicir, lanzouse unha nova compilación para o JDK 8 para eliminar a posibilidade dun fallo do sistema que se introducira cunha actualización de xullo (OpenJDK 8u342).
• In addition to the costs of correcting a flaw, organizations increasingly face the expense of compliance. In many cases, this includes indemnification, the legal “blast doors” that protect against the legal consequences of an upstream failure. Many clients and partners are demanding these blast doors with greater frequency. Providing the necessary proof that a client or partner is protected against any issues that arise from the Java stack can introduce unexpected (and significant) costs that bely the whole concept of “free.” This issue only multiplies in complexity and concern when those same upstream providers (such as Oracle) unilaterally change their support licensing costs.
• Hoxe en día, Oracle ten catro programas de acordos de licenza activos para Oracle Java SE: termos e condicións sen taxas (NFTC); licenza pública xeral de GNU, versión 2 coa excepción Classpath (GPLv2+CPE); licenza de código binario de Oracle; e licenzas de Oracle Technology Network (OTN). Para contextualizar, os clientes de Azul Platform Core adoitan pagar un 70 % menos do que pagarían por Oracle Java SE.

EXPLOITAS DE SEGURIDADE

• É un feito ineludible: os erros ocorren. A base de código de OpenJDK conta con máis de 7 millóns de liñas de código e moitas bibliotecas externas (todas elas poden ter erros!). Os enxeñeiros que traballan na plataforma Java, tanto en Oracle como noutras empresas, son algúns dos mellores desenvolvedores do mundo e pasan por algunhas das probas máis rigorosas fóra da NASA, pero os erros seguen aparecendo. Algúns destes erros son vulnerabilidades de seguridade e, de cando en vez, unha ou máis delas avalíanse como de alto risco ou críticas, o que significa que representan un "buraco" significativo na estrutura informática dunha empresa. Non son comúns, pero no momento de escribir isto, 13 das 23 versións de Java desde que Oracle deixou de ofrecer soporte gratuíto tiñan unha ou máis vulnerabilidades de alto risco ou críticas.
• If you have an application running on Java 6, that release has a known list of over 400 vulnerabilities, 89 of which are critical. Those numbers will never go down – Oracle’s last free release of Java 6 was in April 2013. Can your company  afford to run your application with over 400 known attack vectors?

Neste documento técnico, examinaremos algúns dos custos ocultos de operar Java nun entorno de produción:

1. Apoio
2. Licensing OpenJDK
3. Migrating from one JDK version to another
4. Maintaining Java
5. Complying with regulations

O soporte comercial de pago de Java é como o seguro do coche e os cintos de seguridade. E, como o seguro e os cintos de seguridade, o soporte comercial de pago de Java só compensa cando hai un incidente, que case sempre é repentino, inesperado e caro. Aínda que sexa tentador, executar con Java sen soporte en produción é arriscado.

WHAT PURCHASING SUPPORT MEANS
Ao mercar soporte dun provedor de JDK con licenza, obtén tres elementos esenciais para un software seguro e eficaz:

1. Security patches and updates to prevent your software from exposing your customers’ data.
2. Legal documentation that essentially declares that you comply with the regulatory demands of the industry,
3. Assurance that your software is safely in legal accordance with IP laws, without having to give your source code away.

Custo do soporte

• As diferentes distribucións de JDK teñen políticas de soporte moi variables
• OpenJDK é un proxecto de código aberto. Calquera persoa pode descargar o código fonte dunha versión específica do Java Development Kit (JDK) e compilar todas as partes dun JDK para plataformas convencionais como Windows cun procesador Intel de 64 bits. Estes executables e bibliotecas pódense empaquetar e proporcionar como unha distribución de OpenJDK, e hai moitas distribucións diferentes dispoñibles. Podes escoller entre provedores, desde gratuítos e sen soporte ata provedores comerciais que ofrecen toda a compatibilidade con Oracle Java SE e moito máis.

COA ELECCIÓN VÉN A COMPLEXIDADE
Dado que existen moitos provedores de OpenJDK compatibles co Kit de compatibilidade tecnolóxica (TCK), avaliar un fronte aos demais pode ser complicado. Algunhas consideracións entre os diferentes provedores poden incluír:

QUE VERSIÓNS DE JAVA SON COMPATIBLES?
En marzo de 2025, había catro versións de Java con soporte a longo prazo (LTS) entre máis de 20 en total. É doado atopar soporte para a versión LTS máis recente, Java 21, pero canto máis atrás se vaia, menos provedores hai que soporten versións antigas. Oracle puxo fin ao soporte gratuíto para a versión LTS anterior, Java 17, en outubro de 2024. Só dous provedores admiten Java 6 e Java 7.

QUE PLATAFORMAS SON COMPATIBLES?
A maioría dos usuarios executan aplicacións en sistemas operativos convencionais como Linux e Windows e empregan procesadores comúns como os de Intel e AMD. Se o teu entorno inclúe plataformas menos comúns como procesadores baseados en ARM, ou quizais aínda executas aplicacións Java no sistema operativo Solaris, debes saber se a distribución proporciona compilacións para elas e se continúa a proporcionar correccións?

Consulta a folla de ruta do ciclo de vida do soporte de Azul

CANTO TEMPO SERÁ COMPATIBLE UNHA VERSIÓN?

• Mesmo entre as versións LTS, as diferentes distribucións poden ofrecer diferentes duracións de mantemento e soporte. Se os teus plans son manter as versións actuais en funcionamento durante 10 anos antes de facer ningún cambio no código, convén asegurarte de ter LTS para esa versión durante polo menos unha década. Algunhas distribucións tamén poden comprometerse a admitir unha versión despois de deixar de proporcionar as actualizacións programadas. Nesta fase de soporte pasivo, os usuarios aínda poden informar de problemas e, se é necesario, o provedor de compilación pode proporcionar unha actualización especial que conteña unha corrección.

Con que rapidez están dispoñibles as actualizacións?
As actualizacións programadas do JDK desenvólvense a través do proxecto OpenJDK e son embargadas polo OpenJDK Vulnerability Group ata unha data e hora preplanificadas. Antes de investir nunha distribución de OpenJDK, debes coñecer o seu historial de subministración de actualizacións ás poucas horas do levantamento do embargo e se sufriu longos atrasos no pasado. Pregunta se ten un SLA que especifique cando se garante que unha actualización estea dispoñible. A velocidade de actualización é importante porque, unha vez levantado o embargo, os detalles das vulnerabilidades de seguridade fanse públicos, o que inicia unha carreira contra o reloxo. Os malos usuarios comezan a desenvolver vulnerabilidades; e se as túas actualizacións non están dispoñibles durante días ou incluso semanas, os teus sistemas corren risco.

HAI ACTUALIZACIÓNS ESTABILIZADAS DISPOÑIBLES?
Oracle Java SE ofrece dous formatos para cada actualización:

1. Critical Patch Update (CPU): a stabilized security update
2. Patch Set Update (PSU): the full update

To maintain the maximum level of JDK security, both are essential. When Oracle releases a patch for a known vulnerability, your organization can quickly implement a CPU to patch the vulnerability. If all you have is a PSU, you have to implement the entire update, which is time-consuming, resource-intensive, and requires regression testing. Only Oracle and Azul provide CPUs.

Mesmo co cumprimento da normativa TCK, algúns usuarios de Java aínda se senten incómodos con calquera cousa que non sexa a compatibilidade con Oracle Java, que é cara. Os clientes de Azul Platform Core adoitan aforrar un 70 % en comparación con Oracle Java SE. A miúdo, os usuarios fan preguntas como:

• Will I lose functionality if I switch? This depends on which version of Java you’re using; the more recent, the less likely that you’d lose any functionality switching from one JDK to another, or from one version of a JDK to a later version.
• From JDK 11 onwards, Oracle JDK has used only the source code included in the relevant OpenJDK repository, but prior to that, Oracle also included several non-open-source features that complicated licensing. (For the curious, these features are almost all associated with desktop applications and deployment technologies, two of which are the Java browser plug-in, which was required to run applets in a browser, and Java Web Inicio, que axudaba a despregar aplicacións no escritorio a través de Web.)
• What’s my risk of regression when using alternatives to Oracle? Provided the OpenJDK distribution you choose is built from OpenJDK source code and is TCK tested, there is essentially zero chance of a functional regression created by swapping one distribution for another. Applications will behave no differently when running on an Oracle JDK alternative.
• Will I need to move to the latest Java JDK version? All distributions of OpenJDK provide extended maintenance for the LTS versions of Java in the form of updates. How long these updates will continue to be delivered depends on the distribution. If you’re using an older version of the JDK that is still being maintained, your application will continue to receive the maximum level of security and stability from its runtime. There is no need to update to the latest Java version. (You might *want* to, in order to take advantage of latest-and-greatest features, but you don’t *have* to.)
• Will I need to rewrite or modify my application code? There is no need to recompile code when switching OpenJDK distributions. By extension, therefore, it isn’t necessary to modify or rewrite any application code as long as the Java version of both distributions is the same.

Cost of Licensing OpenJDK

Review o seu contrato de licenza coidadosamente

• Para algúns, unha subscrición de soporte é como mercar unha póliza de seguro que protexe contra desastres. Para outros, é un servizo de asesoramento que aforra tempo aos equipos de desenvolvemento e de aplicacións. E para outros, é protección da propiedade intelectual e garantía operativa. Independentemente da túa razón preferida para dar soporte ao código Java na túa estrutura de TI, ter soporte adoita ser a diferenza entre un CTO feliz e un infeliz.

Para obter asistencia e tranquilidade completas, teña en conta algunhas cousas ao elixir o seu socio de Java:

CPU s ARE ESSENTIAL
Quarterly updates or random security patches are not enough. Security fixes must be delivered as soon as possible once security vulnerabilities are published. Out-of-cycle fixes are also essential. And your provider should always be able to provide CPUs, security-only updates discussed earlier, as opposed to OpenJDK’s PSU releases, which not only include the fix for a particular bug but all work done in the 90 days leading up to the release–which can in turn contain new features, non-security or non-critical bug fixes, and (sometimes) a whole new set of bugs to mitigate. Remember, only Oracle and Azul provide CPUs.

INSIST ON SLA s FOR SECURITY UPDATES

• As compilacións estables deben implementarse rapidamente no seu entorno de produción. O seu provedor de OpenJDK debería ter un historial de éxito que respalde as súas afirmacións de seguridade e estabilidade. Na versión de xullo da PSU mencionada anteriormente, moitos sistemas críticos de consumidores de OpenJDK tiveron que degradar o rendemento para reducir o risco. Se o seu provedor de Java non ofrece versións puntuais para erros críticos e vulnerabilidades de seguridade, os seus sistemas poden estar en risco durante días, quizais incluso semanas, cada trimestre.

A SÚA SUBSCRICIÓN NON DEBERÍA IMPORTAR RISCOS ADICIONAIS
O binario do teu provedor de OpenJDK debe verificarse se cumpre coa especificación Java SE usando a licenza TCK de Oracle. O teu socio tamén debe ter asinado o acordo OCTLA para polo menos Java 8 e 9+. O teu provedor tamén debe ofrecer garantías de que as clases e API de Java non están contaminadas.

O SEU PROVEDOR DE ASISTENCIA DE JAVA DEBE OFRECER SOPORTE A TODA A SÚA SUPERFICIE DE JAVA.
Deberían ser capaces de dar soporte á túa instalación de Java en calquera lugar, independentemente do sistema operativo ou da versión, xa sexa local, nunha máquina virtual ou na nube. Necesitan ter un coñecemento profundo e consolidado de Java e a gama de habilidades para dar soporte ás diversas necesidades de Java da túa organización.

A APOIO DEBERÍA ESTAR SEMPRE DISPOÑIBLE CANDO O PRECISES 
You should be able to easily reach your support team, even on weekends and public holidays, regardless of your time zone. After all, easy accessibly is the only way you can truly rely on your Java partner’s experience, dedication, and expert knowledge.

ATOPA UN PROVEDOR APAIXONADO POR JAVA
O teu provedor de Java debe estar comprometido co crecemento e o éxito da plataforma no seu conxunto. O persoal de soporte que non traballa no código que conforma a plataforma Java terá que derivar calquera problema que se desvíe do script de soporte. Nunha crise, cando cada segundo conta, esperar en espera pode ser un desastre.

Calcula o aforro na túa licenza ao cambiar de Oracle Java SE

• Azul has been guiding the evolution of Java technology since 2011 when it was first elected to the Java Community Process (JCP) Executive Committee. Azul is also on the Expert Group for the Java Specification Request (JSR) of all Java versions since JDK9. Azul also Initiated and sponsors the vendor-neutral community platform Foojay.io, for friends of OpenJDK, bringing together the worldwide community of OpenJDK users.

Custo da migración

Non é tan malo como che di Oráculo

• Cando as organizacións consideran a migración dun JDK a outro, sempre se preguntan: "A miña aplicación executarase sen cambios se levo o meu código a un novo JDK?". Algúns provedores de JDK insinuaron que o código que se executa na súa implementación pode non executarse correctamente noutra implementación, o que implica que é mellor pagar as súas elevadas taxas de licenza que cambiar a unha distribución menos custosa.
• Que sorte, entón, de que existan medios mensurábeis e definibles para determinar se unha implementación é 100 % compatible coas especificacións definidas da Edición Estándar de Java.
• Azul has a 100% success rate migrating organizations from other Java distributions, thanks to its three-phase migration process. Azul Deputy CTO Simon Ritter literally wrote the book on it. Read OpenJDK Migration for Dummies.

KIT DE COMPATIBILIDADE TECNOLÓXICA (TCK)

• The TCK was created to ensure compatibility between different implementations of the Java specification. It’s essential for Java’s portability — for delivering the “write once, run anywhere” promise. The TCK provides a high level of confidence that an application that runs on one TCK-tested distribution will run the same way on another distribution that has also passed the TCK test suite. To call TCKs comprehensive is an understatement: To be a drop-in replacement for Oracle JDK, an OpenJDK provider must pass more than 120,000 tests. If the new JDK has and uses automated installers, all applications that use the default JDK will automatically pick up the new JDK (i.e. no changing PATH).
• Na maioría dos casos, podes instalar un JDK de substitución directo en tan só cinco minutos. Non tes que modificar o código fonte nin recompilar a aplicación. Os pasos son similares aos de instalar unha actualización para o JDK de Oracle.

OUTRAS CONSIDERACIONS
Ten en conta que, aínda que o TCK garante a compatibilidade entre as implementacións de Java, non sempre proporciona respostas claras sobre cuestións alleas á compatibilidade. Por exemplo,ampÉ dicir, hai unha década, as empresas enfrontáronse a un cambio lento pero constante nas ferramentas informáticas, en forma dun cambio no deseño da CPU de "máis rápida" a "máis"; concretamente, o auxe das CPU "multinúcleo", o que levou á agora famosa columna de Herb Sutter sobre o cambio, titulada "The Free Lunch is Over: A Fundamental Turn Towards Concurrency in Software".

• Un cambio semellante produciuse cando os fabricantes de CPU comezaron a producir chips de 64 bits en volumes maiores, e un cambio similar está a producirse mesmo agora, xa que a industria comeza a considerar a serie de CPU ARM sobre a liña Intel x86/x64.
• En cada un destes casos, unha organización de TI necesita avaliar as ramificacións de non levar a cabo a migración. Se, por exemplo,ampPor exemplo, unha organización de TI que se negou a abandonar a plataforma Java de 32 bits atopábase cun límite inherente (e inaccesible) de 2 GB de memoria dispoñible para o proceso Java. Ao considerar a migración de CPU Intel a ARM, para calquera parte da aplicación Java que execute código nativo (que se ve con máis frecuencia en entornos non na nube), a organización debe garantir que o código nativo estea dispoñible para os procesadores ARM, o que probablemente requira a recompilación deses recursos nativos.
• Non obstante, teña en conta que cada unha destas consideracións se refire a preocupacións que se atopan fóra da propia plataforma Java. O uso do TCK garante a unha organización usuaria de Java que o seu código Java, como mínimo, se executará e comportará do mesmo xeito en todas as plataformas, independentemente do tamaño, número ou estilo de deseño da súa CPU.

IMPLICACIÓNS

• Para as organizacións que se enfrontan a unha migración (voluntaria ou non), a presenza do TCK ofrece unha fantástica noticia, xa que elimina gran parte da angustia e a preocupación. Se a aplicación está escrita integramente en Java, sen preocupacións sobre o ambiente fóra da JVM (incluíndo, entre outras, fileorganización do sistema), entón a aplicación está garantida (polo TCK) como 100 % equivalente en comportamento en calquera plataforma compatible con TCK.
• De xeito máis realista, dado que a maioría das aplicacións dependen de certas características do entorno externo á plataforma Java (como a organización do filesistema), as organizacións poden ter que dedicar unha pequena cantidade de tempo a probar o comportamento da aplicación ao migrar ese contexto circundante, como cambiar os sistemas operativos. Pero debido a que o TCK garante o comportamento idéntico dunha aplicación Java en plataformas compatibles con TCK, as probas ás que se enfronta unha organización agora realízanse nos "bordes" da aplicación, onde interactúa co entorno circundante. Isto supón, por definición, unha redución do traballo necesario; na práctica, é unha redución significativa.

FUNDAS DE AVANTAXE
Antes do JDK 11, o JDK de Oracle (e Sun Microsystems) incluía funcionalidades que non estaban incluídas no proxecto principal de OpenJDK. Ten en conta as tecnoloxías máis antigas de Oracle que quedaron obsoletas nas versións máis recentes de Java:

• JavaFX Applets
• Xava Web Comeza

Azul é un dos poucos distribuidores de OpenJDK que aínda ofrece compilacións con JavaFX incluído, o que garante que a combinación de OpenJDK e OpenJFX sexa totalmente compatible. Podes atopalos como tipo de paquete "JDK FX" en Descargas de Azul. Podes descargar as versións 8, 11, 17 e 21 de Long Term Support e a versión 23 de Short Term Support.

• Consulta canto tempo adoitan tardar as migracións desde Oracle Java SE

Oracle deixará de dar soporte a JavaFX en JDK 8 en marzo de 2025 e deixará de fornecer compilacións de Java 8 con OpenJFX incluído. Isto significa que a partir das primeiras actualizacións de seguranza de abril, Oracle JDK 8 xa non estará dispoñible con JavaFX incluído. Os riscos son graves:

• Your CI/CD builds will fail as new Oracle JDK 8 versions no longer support JavaFX.
• You can’t fix these failing builds as JavaFX 8 is no longer maintained as an open-source project, and no separate downloads are available.
• If you decide to stick to the latest released Oracle Java 8 package with JavaFX, your system will become vulnerable to CVEs, as no new releases with fixes will become available. The same applies to bug fixes in Java and JavaFX for that version.

Custo de Mantemento

Actualizacións trimestrais con CPUs

• PSU updates have introduced an uncomfortable number of new regressions to the JDK, which have required an out-of-bounds update. This is fine if the applications affected are common (like Hadoop Cluster in July 2022), but what happens if the only application affected is yours?(1) You can’t install the PSU because it will break your application. (2) If the update addresses a critical vulnerability, you leave yourself exposed unless you have access to the CPU, which you don’t if you’re using free Java (or any distribution outside Oracle and Azul). Since your application is the only one affected, there is no guarantee when (or even if) this problem will be resolved in OpenJDK. (3) You can report it as a bug, but it won’t get priority. This could lead to either extended downtime of your application, or a potential breach of data or DOS attack. Any of these three scenarios comes with potentially unlimited cost to your organization: lack of revenue, cost of mitigation, reputation damage, and customer attrition.
• O proxecto OpenJDK publica actualizacións catro veces ao ano, o terceiro martes de xaneiro, abril, xullo e outubro. Os cambios aplícanse directamente á versión actual de Java nese momento, así como á versión LTS actual. Calquera pode descargar o código fonte de OpenJDK e crear o seu propio JDK actualizado, e sempre estará actualizado con parches de seguridade, correccións de erros e melloras. Por desgraza, crear un JDK actualizado non é realista para a maioría das organizacións.

Sen soporte comercial de Java, a súa organización corre graves riscos:

• No security guarantees or support
• No commercial support for Java 6 and 7, but most OpenJDK vendors don’t provide it either
• No CPUs
• No out-of-cycle fixes for new vulnerabilities
• Lack of expertise at your disposal

Mesmo con Oracle, non recibirás soporte comercial de pago para Java 6 ou 7.

O TEMPO DOS ENXEÑEIROS NON É GRATUITO
Se se anuncia unha nova vulnerabilidade ou exposición común (CVE) e a súa organización non recibe CPU, ten algunhas opcións, ningunha delas boa:

• Do nothing and hope the CVE is not exploited
• Wait for the PSU and implement it, hoping the CVE is not exploited in the meantime. Dedicate engineering time to manually applying a fix
• Cando se descubriu a vulnerabilidade Log4Shell na biblioteca Log4j en decembro de 2021, as organizacións apresuráronse a atopar versións vulnerables e aplicalas. Sen o parche, as organizacións tiñan que esperar que o CVE non fose explotado ou deixar de usar unha das bibliotecas máis empregadas en Java. Unha greta crítica na armadura era que moitas organizacións seguían reintroducindo versións infectadas sen querer.
• Cando ocorre algo malo, estás a pagarlles aos teus enxeñeiros tanto para que solucionen o problema como para que non fagan o seu traballo principal de crear novas funcionalidades para os teus clientes.

A RODA DO HÁMSTER DAS ACTUALIZACIÓNS DE JAVA

• Se estás a gozar do soporte comercial de Oracle Java e queres seguir usándoo sen pagar por el, podes facelo, pero debes actualizar continuamente a túa versión de Java. A versión LTS máis recente é gratuíta, pero a versión LTS anterior deixa de ser compatible un ano despois do lanzamento da nova versión LTS.

Comparar Azul Platform Core coas distribucións gratuítas de OpenJDK

A Detección de Vulnerabilidades de Azul, unha funcionalidade de Azul Intelligence Cloud, ofrece catro vantaxes para axudar a mellorar a eficiencia de DevOps:

• Uses unique information from the JVM to eliminate false positives and prioritize the backlog to focus on vulnerable code in use.
• Continuously detects what new critical vulnerabilities have been used in production and where, saving time and minimizing disruption from events like the discovery of Log4Shell.
• Pinpoints code that runs in production so DevOps can easily identify and remove code that doesn’t, reducing the burden of maintaining and upgrading unused code.
• Retains code use history, enabling focused forensic efforts to determine if vulnerable code was exploited prior to being known as vulnerable.

Ensure Compliance with Regulations

As infraccións poden supoñer multas e danos á reputación

• Pode que todas esas vulnerabilidades non susciten preocupacións sobre o estado e a seguridade da túa aplicación. Os teus clientes poden sentirse de xeito diferente, especialmente en sectores sensibles como a saúde, as finanzas, o goberno, a hostalería, o comercio polo miúdo e o transporte. Moitos sectores esixen que os socios, provedores e provedores proporcionen activamente documentación que demostre que cumpren con normativas estritas. Unha mensaxe no blog da túa empresa que diga que "CVE-123456 non debería ser unha ameaza para nós" non tranquiliza aos líderes empresariais, e debes demostrar publicamente que a túa empresa está a tomar todas as medidas razoables para garantir que os atacantes non poidan explotar as vulnerabilidades do teu código. Unha lista moi pequena de normativas a ter en conta inclúe:

NORTEAMÉRICA
As Directivas da Axencia de Ciberseguridade e Seguridade das Infraestruturas (CISA) traballan para protexer os sectores de infraestruturas críticas, incluídas as institucións financeiras, das ameazas cibernéticas.

• Sancións: Civil penalties like fines and criminal charges

A Lei de Portabilidade e Responsabilidade dos Seguros de Saúde (HIPAA) protexe a privacidade da información sanitaria dos pacientes.

• Sancións: fines up to $50,000 and imprisonment up to a year

EUROPA
Cyber ​​Essentials está deseñado para tranquilizar aos clientes dicíndolles que estás a traballar para protexer a súa TI contra os ciberataques.

Sancións: fines, legal action, and regulatory sanctions

O Regulamento Xeral de Protección de Datos (RXPD) é unha lei da UE de protección da privacidade e seguridade dos consumidores.

• Penalties: Fines up to €20 million for individuals and up to 4% of global turnover for businesses, plus criminal penalties

A Lei de Resiliencia Operativa Dixital (DORA) fortalece a resiliencia do sector financeiro fronte aos riscos operativos dixitais.

• Sancións: Penalties up to €1 million for individuals, and fines up to 2% of annual turnover, administrative repercussions, license revocation, and brand degradation for businesses

ASIA
A Autoridade Monetaria de Singapur (MAS) proporciona directrices para o sector financeiro que se centran na gobernanza das TI, a ciberresiliencia e a continuidade operativa.

• Sancións: fines, civil penalties, and criminal convictions

Essential Eight proporciona a dirección específica para protexer a tecnoloxía.

• Sancións: Certification is required to bid for central government contracts which involve handling PPI.

PROBLEMAS DE PROPIEDADE INTELECTUAL

• Máis alá das preocupacións polas ameazas e os ataques activos ao teu software, vén unha ameaza moito máis sutil, igualmente maligna para os resultados da túa empresa. As leis de propiedade intelectual (PI) experimentaron un cambio tectónico no último medio século a medida que o software de código aberto se converteu nunha forza importante no desenvolvemento de software. Onde hai 50 anos o software libre e de código aberto era un elemento secundario, a miúdo relegado á marxe nas principais empresas, en 2025 é fundamental para case todas as empresas, especialmente se usas Java.
• Say you use a GNU Public Licensed (GPL) library to write a tool that is used as a part of your build process. Is your software required to declare itself GPL as well? What if you use a language that makes use of libraries written using the GPL? Is your software now required to be source-available for download by anyone who cares to do so? If a cease-and-desist letter shows up in your company mail, demanding you comply with the legal requirements of the GPL, can you comply without bankrupting your company? Or can you prove that your software is not “contaminated” in its intellectual property? Before you answer, you should know that (1) the JDK itself is built with a number of GPL components, and (2) the GPL has some very particular requirements, including that anything that is GPL-licensed must remain so licensed, and therefore available for free by anyone who cares to download it.
• Para mitigar as ameazas dos problemas de propiedade intelectual, necesitas un provedor de Java que proporcione acceso a compilacións específicas de OpenJDK que foron sometidas a certificación e verificación formais para garantir que incluílas, integralas e/ou distribuílas nos teus produtos non contamine a propiedade intelectual nin o código dos teus produtos con requisitos de licenza (incluídos, entre outros, os requisitos de divulgación do código fonte da GPLv2).

Consulta as normas de cumprimento normativo vertical

Conclusión

• As versións 6 e 7 do JDK, e as primeiras versións da 8, son de uso gratuíto. Oracle aínda admite o JDK 8 comercialmente, pero xa non admite os JDK 6 nin os 7, o que os fai vulnerables a riscos de seguridade. Atopáronse continuamente vulnerabilidades e exposicións comúns (CVE) en Java 6, que chegou ao final da súa vida útil en decembro de 2018, e Java 7, que chegou ao final da súa vida útil en xullo de 2022. Co soporte comercial, os subscritores reciben parches de seguridade que protexen estas versións antigas de Java, así como actualizacións de parches críticos (CPU) para as versións actuais de Java que lles permiten cumprir mellor os requisitos de conformidade.
• O soporte comercial funciona como un seguro contra actualizacións inestables (como a actualización de Crowdstrike que pechou negocios en todo o mundo en xullo de 2024). En caso de regresión nunha actualización completa do JDK, os clientes de Azul están protexidos, supoñendo que instalaran a versión da CPU con moitos menos cambios. (Historicamente, as CPU de Azul non se viron afectadas polas regresións periódicas que se producen nas actualizacións trimestrais completas). Se un cliente se ve afectado porque instalou actualizacións completas, pode cambiar inmediatamente ás CPU.
• Ademais das CPU, Azul (e algúns outros provedores de soporte comercial) ofrecen SLA para actualizacións de seguridade e proporcionarán correccións críticas fóra de ciclo se é necesario.
• Cando as aplicacións empresariais críticas se executan en Java, o soporte comercial tórnase esencial. Ademais das correccións de seguridade oportunas e dos erros críticos, o acceso a servizos de enxeñaría expertos distribuídos globalmente é crucial para a análise da causa raíz e a resolución de problemas relacionados co kit de desenvolvemento de Java, o entorno de execución de Java ou a máquina virtual de Java.
• O soporte comercial combina seguro e mantemento nunha única subscrición e, no caso de Azul, tamén ofrece protección da propiedade intelectual. Azul certifica os seus JDK contra a contaminación por copyleft e indemniza aos clientes contra as impugnacións de patentes e dereitos de autor.
• Garantir a seguridade e a estabilidade das túas aplicacións Java é primordial para as empresas que dependen de Java. Co soporte comercial de Azul, podes protexer o teu investimento, cumprir os requisitos de conformidade e mitigar os riscos, todo isto beneficiándote de servizos de enxeñaría expertos e unha protección integral da propiedade intelectual. Ese é o caso do soporte comercial de Azul en poucas palabras.

SOBRE AZUL

• Azul leva dende 2014 ofrecendo á comunidade Java versións gratuítas de OpenJDK en Zulu. A oferta comercial Azul Platform Core utilízase hoxe en día en decenas de millóns de servidores e dispositivos no 36 % das empresas da lista Fortune 100, no 50 % das 10 marcas máis valiosas do mundo segundo Forbes e nas 10 empresas de comercio financeiro máis importantes do mundo.
• As ofertas de soporte de primeira clase de Azul ofrecen compromisos estritos de SLA para actualizacións de seguridade e corrección de erros oportunas, así como soporte para tecnoloxías clave como Flight Recorder e Mission Control tanto para Java 8 como para 11. E Azul é o único provedor que ofrece soporte para Java 6/7, así como protección e indemnización completas da propiedade intelectual.
• Para obter información adicional sobre as versións Zulu de OpenJDK e as ofertas de soporte comercial, póñase en contacto hoxe mesmo cun especialista de Azul OpenJDK.

Contact Azul
385 Moffett Park Drive, Suite 115 Sunnyvale, CA

• 94089 USA +1.650.230.6500
• www.azul.com
• Dereitos de autor © 2025 Azul Systems, Inc.

Preguntas frecuentes