Cette semaine, Oracle a envoyé des courriers électroniques à certains utilisateurs de la plateforme Java pour les avertir d’une prochaine mise à jour de sécurité payante de Java 8. Selon la note d’information d’Oracle, cette mise à jour de sécurité critique pour la version 8 de Java sera uniquement disponible pour les utilisateurs qui possèdent une licence d’utilisation active. Bien évidemment, cela a mis en rogne certaines personnes à la manière de Alex Rice, fondateur et directeur technique de HackerOne qui voit en cette mesure d’Oracle une façon d’obliger les gens à posséder une licence. Il a été annoncé depuis l’année dernière que le support public d’Oracle pour la plateforme Java 8 prendrait fin en janvier dernier. Cette décision fait suite à plusieurs changements qui sont survenus dans le cycle de développement de Java SE qui, selon Oracle, était en retard par rapport à ses concurrents.
Oracle publie désormais une nouvelle version de Java avec de nouvelles fonctionnalités tous les six mois, en mars et en septembre. Et ces versions de fonctionnalités (feature release) seront suivies par des mises à jour (update release) chaque trimestre, comme c’est le cas en janvier, avril, juillet et octobre. C'est le nouveau cycle de publication qui a été adopté après la sortie de Java 9 en septembre dernier. L'adoption de ce nouveau rythme de publication a conduit Oracle à prendre d'autres décisions qui pourraient ne pas réjouir autant les développeurs et les entreprises. En septembre 2018, lorsque le JDK 11 (version 18.09) a été publié, il n'y aura plus à l’avenir des mises à jour publiques, y compris les patchs de sécurité pour le JDK 8. Si l'on se fie aux chiffres de Semaphore CI, Java 8 était encore utilisé fin 2017 dans plus de 80 % des projets commerciaux. Il y a donc beaucoup d'utilisateurs qui seront affectés par cette décision.
Le fait est que désormais, quand une nouvelle version de Java sera disponible, la version précédente va immédiatement cesser de recevoir des mises à jour publiques. Pour mieux comprendre ce que cela veut dire, rappelons un peu comment se sont passées les mises à jour jusqu'ici. Lorsque le JDK 6 a été publié, les mises à jour du JDK 5 ont continué à être publiées pendant près de trois ans (deux ans et onze mois pour être précis). Avec le JDK 7, le JDK 6 a continué à avoir des mises à jour publiques pendant un an et neuf mois. Le JDK 7 a ensuite eu treize mois de mises à jour publiques après la sortie du JDK 8. Pour aller plus loin dans l’explication, le nouveau rythme de publication du JDK, Oracle estime que l'effort d'ingénierie pour rendre les mises à jour disponibles pour de nombreuses versions antérieures serait insoutenable.
C'est pour cela qu'à la sortie d'une nouvelle version de fonctionnalités (feature release), la version précédente ne va plus recevoir de mises à jour. Pour atténuer le problème, Oracle a toutefois décidé de passer à un modèle LTS (support à long terme). Des versions spécifiques du JDK seront des versions LTS, ce qui signifie qu'elles auront des mises à jour pendant trois ans (jusqu'à la prochaine version LTS). Toutes les autres versions intermédiaires (les versions de fonctionnalités) ne seront mises à jour que pendant six mois (jusqu'à la prochaine version de fonctionnalités). Et pour synchroniser le nouveau système, le JDK 8 a été classé comme une version LTS, ce qui veut dire qu'après la sortie du JDK 11 (LTS) en septembre, le JDK 8 ne va plus recevoir de mises à jour publiques.
On peut dire que jusque-là, les utilisateurs étaient assez bien informés que le mois de janvier 2019 passé, les mises à jour publiques de Java cesseraient et les prochaines seront désormais à l’endroit de ceux disposant uniquement d’une licence d’utilisation active (ou licence rémunérée). Cependant, Alex Rice, le directeur technique de HackerOne n’a pas du tout apprécié de recevoir ce mail de la part des représentants des ventes d’Oracle. Dans un tweet, il exprime son mécontentement et estime que la personne qui lui a adressé le courrier électronique semble avoir utilisé cette tactique comme stratégie de terreur pour le convaincre d'acheter une licence. Il dit ensuite que HackerOne n’entretient aucune relation avec l’entreprise Oracle et que le courrier était inattendu.
Pour Rice et d’autres personnes, le courrier électronique ressemblerait à une demande de rançon, à une tentative d’extorsion ou à une tactique alarmiste de la part d’Oracle. D’autres commentaires avancent également l’argument selon lequel Oracle avait sans doute constaté qu’une grande majorité des entreprises utilisant les infrastructures Java travaillent encore avec Java 8 et a voulu en profiter pour s’en mettre plein les poches en les invitant à prendre des licences rémunérées pour bénéficier de mises à jour.
Une partie du mail reçu par Rice indique ce qui suit : « … Je vous contacte pour que vous sachiez que la première mise à jour critique trimestrielle non disponible au public pour Java 8 sera publiée le 16 avril. Toutes les applications et tous les serveurs non-oracle exécutant la version 8 de Java ou ultérieure nécessiteront une licence pour pouvoir continuer à recevoir les correctifs et les mises à jour au-delà de la date de publication. Sans licence appropriée en place, les correctifs et les mises à jour ne seront pas disponibles, ce qui risquerait de rendre votre environnement de serveur et de bureau exposé et vulnérable … ».
Cependant, ils sont beaucoup à ne pas être du même avis que Rice. En réponse à son tweet, certains ont estimé qu’Oracle était dans son droit de fournir un service d’assistance ou de mise à jour payant, car le support public étant expiré depuis janvier passé. Cela dit, ils reconnaissent quand même que la nouvelle stratégie d’Oracle vise beaucoup plus à enrichir la firme que d’offrir plus de satisfaction aux développeurs et aux entreprises technologiques. En effet, pour eux, les entreprises devront modifier leur façon de fonctionner en choisissant le format de deux composants qui leur correspondra le plus dans le triangle stabilité-sécurité-gratuité.
Source : tweet
Et vous ?
Quel est votre avis sur le sujet ?
Avez-vous aussi reçu l'email ? Quelle a été votre réaction ?
Voir aussi
Fin prématurée du support gratuit du JDK 8 ? Pas vraiment, Oracle ne va pas cesser de livrer des mises à jour publiques pour JDK 8 avant janvier 2019
Oracle annonce des changements pour Java SE : deux versions par an, licence GPL, des fonctionnalités commerciales du JDK d'Oracle en open source
Semaphore : de nombreux nouveaux projets commerciaux sont développés dans des langages qui ne sont plus supportés, quelles en sont les raisons ?
La prochaine mise à jour de sécurité de Java 8 prévue pour le 16 avril 2019 sera payante
Avertit Oracle
La prochaine mise à jour de sécurité de Java 8 prévue pour le 16 avril 2019 sera payante
Avertit Oracle
Le , par Bill Fassinou
Une erreur dans cette actualité ? Signalez-nous-la !