La prochaine mise à jour de sécurité de Java 8 prévue pour le 16 avril 2019 sera payante
Avertit Oracle

Le , par Bill Fassinou

162PARTAGES

9  0 
Cette semaine, Oracle a envoyé des courriers électroniques à certains utilisateurs de la plateforme Java pour les avertir d’une prochaine mise à jour de sécurité payante de Java 8. Selon la note d’information d’Oracle, cette mise à jour de sécurité critique pour la version 8 de Java sera uniquement disponible pour les utilisateurs qui possèdent une licence d’utilisation active. Bien évidemment, cela a mis en rogne certaines personnes à la manière de Alex Rice, fondateur et directeur technique de HackerOne qui voit en cette mesure d’Oracle une façon d’obliger les gens à posséder une licence. Il a été annoncé depuis l’année dernière que le support public d’Oracle pour la plateforme Java 8 prendrait fin en janvier dernier. Cette décision fait suite à plusieurs changements qui sont survenus dans le cycle de développement de Java SE qui, selon Oracle, était en retard par rapport à ses concurrents.

Oracle publie désormais une nouvelle version de Java avec de nouvelles fonctionnalités tous les six mois, en mars et en septembre. Et ces versions de fonctionnalités (feature release) seront suivies par des mises à jour (update release) chaque trimestre, comme c’est le cas en janvier, avril, juillet et octobre. C'est le nouveau cycle de publication qui a été adopté après la sortie de Java 9 en septembre dernier. L'adoption de ce nouveau rythme de publication a conduit Oracle à prendre d'autres décisions qui pourraient ne pas réjouir autant les développeurs et les entreprises. En septembre 2018, lorsque le JDK 11 (version 18.09) a été publié, il n'y aura plus à l’avenir des mises à jour publiques, y compris les patchs de sécurité pour le JDK 8. Si l'on se fie aux chiffres de Semaphore CI, Java 8 était encore utilisé fin 2017 dans plus de 80 % des projets commerciaux. Il y a donc beaucoup d'utilisateurs qui seront affectés par cette décision.


Le fait est que désormais, quand une nouvelle version de Java sera disponible, la version précédente va immédiatement cesser de recevoir des mises à jour publiques. Pour mieux comprendre ce que cela veut dire, rappelons un peu comment se sont passées les mises à jour jusqu'ici. Lorsque le JDK 6 a été publié, les mises à jour du JDK 5 ont continué à être publiées pendant près de trois ans (deux ans et onze mois pour être précis). Avec le JDK 7, le JDK 6 a continué à avoir des mises à jour publiques pendant un an et neuf mois. Le JDK 7 a ensuite eu treize mois de mises à jour publiques après la sortie du JDK 8. Pour aller plus loin dans l’explication, le nouveau rythme de publication du JDK, Oracle estime que l'effort d'ingénierie pour rendre les mises à jour disponibles pour de nombreuses versions antérieures serait insoutenable.

C'est pour cela qu'à la sortie d'une nouvelle version de fonctionnalités (feature release), la version précédente ne va plus recevoir de mises à jour. Pour atténuer le problème, Oracle a toutefois décidé de passer à un modèle LTS (support à long terme). Des versions spécifiques du JDK seront des versions LTS, ce qui signifie qu'elles auront des mises à jour pendant trois ans (jusqu'à la prochaine version LTS). Toutes les autres versions intermédiaires (les versions de fonctionnalités) ne seront mises à jour que pendant six mois (jusqu'à la prochaine version de fonctionnalités). Et pour synchroniser le nouveau système, le JDK 8 a été classé comme une version LTS, ce qui veut dire qu'après la sortie du JDK 11 (LTS) en septembre, le JDK 8 ne va plus recevoir de mises à jour publiques.

On peut dire que jusque-là, les utilisateurs étaient assez bien informés que le mois de janvier 2019 passé, les mises à jour publiques de Java cesseraient et les prochaines seront désormais à l’endroit de ceux disposant uniquement d’une licence d’utilisation active (ou licence rémunérée). Cependant, Alex Rice, le directeur technique de HackerOne n’a pas du tout apprécié de recevoir ce mail de la part des représentants des ventes d’Oracle. Dans un tweet, il exprime son mécontentement et estime que la personne qui lui a adressé le courrier électronique semble avoir utilisé cette tactique comme stratégie de terreur pour le convaincre d'acheter une licence. Il dit ensuite que HackerOne n’entretient aucune relation avec l’entreprise Oracle et que le courrier était inattendu.


Pour Rice et d’autres personnes, le courrier électronique ressemblerait à une demande de rançon, à une tentative d’extorsion ou à une tactique alarmiste de la part d’Oracle. D’autres commentaires avancent également l’argument selon lequel Oracle avait sans doute constaté qu’une grande majorité des entreprises utilisant les infrastructures Java travaillent encore avec Java 8 et a voulu en profiter pour s’en mettre plein les poches en les invitant à prendre des licences rémunérées pour bénéficier de mises à jour.

Une partie du mail reçu par Rice indique ce qui suit : « … Je vous contacte pour que vous sachiez que la première mise à jour critique trimestrielle non disponible au public pour Java 8 sera publiée le 16 avril. Toutes les applications et tous les serveurs non-oracle exécutant la version 8 de Java ou ultérieure nécessiteront une licence pour pouvoir continuer à recevoir les correctifs et les mises à jour au-delà de la date de publication. Sans licence appropriée en place, les correctifs et les mises à jour ne seront pas disponibles, ce qui risquerait de rendre votre environnement de serveur et de bureau exposé et vulnérable … ».

Cependant, ils sont beaucoup à ne pas être du même avis que Rice. En réponse à son tweet, certains ont estimé qu’Oracle était dans son droit de fournir un service d’assistance ou de mise à jour payant, car le support public étant expiré depuis janvier passé. Cela dit, ils reconnaissent quand même que la nouvelle stratégie d’Oracle vise beaucoup plus à enrichir la firme que d’offrir plus de satisfaction aux développeurs et aux entreprises technologiques. En effet, pour eux, les entreprises devront modifier leur façon de fonctionner en choisissant le format de deux composants qui leur correspondra le plus dans le triangle stabilité-sécurité-gratuité.

Source : tweet

Et vous ?

Quel est votre avis sur le sujet ?
Avez-vous aussi reçu l'email ? Quelle a été votre réaction ?

Voir aussi

Fin prématurée du support gratuit du JDK 8 ? Pas vraiment, Oracle ne va pas cesser de livrer des mises à jour publiques pour JDK 8 avant janvier 2019

Oracle annonce des changements pour Java SE : deux versions par an, licence GPL, des fonctionnalités commerciales du JDK d'Oracle en open source

Semaphore : de nombreux nouveaux projets commerciaux sont développés dans des langages qui ne sont plus supportés, quelles en sont les raisons ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Gugelhupf
Modérateur https://www.developpez.com
Le 31/03/2019 à 3:01
Java 8 est tout de même sorti en mars 2014, et ayant moi-même assuré la migration du projet de mon entreprise (une quarantaine de modules Maven) du JDK 8 à OpenJDK 11, je n'ai pas rencontré de très grosses difficultés pour migrer le codebase (suppression d'imports SUN, dépendances JAXB, typage plus strict, correction de tests etc). Et puis Microsoft fait bien payer les entreprises pour le support étendu de Windows 7 non ? Je n'arrive pas à voir où est le problème
1  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 31/03/2019 à 8:16
A priori, d'après leur site la licence est à 26,05€ par an.
A ce prix là je pense que le choix entre faire une migration ou payer le support étendu sera vite fait pour pas mal de monde.
2  1 
Avatar de dfiad77pro
Membre expérimenté https://www.developpez.com
Le 01/04/2019 à 12:57
Citation Envoyé par beenoix Voir le message
Ma première réaction a été "Ah ouais c'est pas bien de faire payer une mise à jour de sécurité" après, étant développeur .NET, je me suis que fais Microsoft, par exemple pour le framework 4.5.1 sorti a peu près en même temps que Java 8 soit en mars 2014 et bien la réponse est simple => plus de support (depuis 2016) merci de faire les montées de version.

https://support.microsoft.com/fr-fr/...et%20framework

A mon sens, Oracle passe du temps a supporter des vieilles versions de framework (donc payer des développeurs pour ça) pour que des entreprises ne mettent pas la main à poche (migration de vieilles applis) donc ça ne me paraît pas déconnant de facturer ce service.

Après il faut peut-être partir sur de l'open source et laisser la communauté supportait le framework que vous aurez choisi mais cela implique quoi qu'il en soit des montées de version régulières (sinon c'est la mort assurée) donc au final c'est le chat qui se mort la queue... On veut tout gratos et sans investir en informatique c'est pas une bonne façon de penser...
Ayant connu les 2 cas , migrer du Framework .net 4.5.1 au 4.7 me semble plus simple que de passer de java 7--> 8 ou de 8 à 11.
1  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 03/04/2019 à 21:50
Citation Envoyé par hboutemy Voir le message
1. même si Oracle ne distribue plus gratuitement à tous sa distribution binaire mais uniquement à ses clients payants, du fait de la licence GPL, Oracle se doit de redistribuer les modifications des sources : de ce point de vue, Oracle est un membre de la communauté Java comme un autre, donc tant qu'Oracle fait des modification pour le support à ses clients, les améliorations de sources diffusées aux clients Oracle seront disponibles à tous
Même si l'OpenJDK a été mis sous licence GPL, il appartient tout de même à Oracle à la base. Cela leur permet de distribuer sous licence propriétaire leur JRE et JDK qui repose sur le OpenJDK. Ils sont libres de faire les modifications qu'ils veulent dessus sans obligation de redistribuer les sources.

Citation Envoyé par hboutemy Voir le message
2. de leur coté, de nombreux autres acteurs ont publié un plan de support qui dure encore plus longtemps qu'Oracle, que ce soit RedHat, Azul, Amazon, ... Et ces acteurs ont tout autant l'obligation de publier les sources du fait de la licence GPL
Ces acteurs n'étant pas propriétaires des source, ils sont eux en effet contraint par la GPL et doivent redistribuer les sources de leur modifications.
1  0 
Avatar de Pyramidev
Expert confirmé https://www.developpez.com
Le 31/03/2019 à 12:34
Citation Envoyé par Uther Voir le message
A priori, d'après leur site la licence est à 26,05€ par an.
A ce prix là je pense que le choix entre faire une migration ou payer le support étendu sera vite fait pour pas mal de monde.
Je suis presque sûr que les prix augmenteront régulièrement.
Ce sera alors un cas particulier du pied-dans-la-porte.
0  0 
Avatar de inumerix
Membre à l'essai https://www.developpez.com
Le 01/04/2019 à 17:51
Mais ou diable acheter cette fameuse licence ???
J'ai beau chercher, je ne trouve pas.
0  0 
Avatar de NBoulfroy
Membre éclairé https://www.developpez.com
Le 01/04/2019 à 18:12
J'avoue ne pas trop comprendre la politique d'Oracle depuis quelques temps : ils s'étonnent que leurs clients partent vers PostgreSQL suite aux déboires de leur SGBD.

Maintenant, je comprends que le support à un moment doit être payant mais ... comment dire ... Je ne sais pas. Je suis développement PHP / Javascript / C# (je n'ai pas mis CSS et HTML mais vous avez compris) et je ne suis pas habitué à ce genre de pratique.

Comme l'a dit quelqu'un, MS est plutôt clair avec C# : à un moment, ils ne garantissent plus la maintenance. C'est assez clair et précis je trouve et on n'est pas non plus pris pour un pigeon, en quelque sorte.

PHP, c'est un peu pareil : une fois une version en fin de LTS, il faut migrer mais de la même façon que le C#, on ne met pas un couteau sous la gorge.

En revanche, j'avais cru comprendre que la prochaine version estampillée "LTS" de Java serait la version 12 mais, elle est déjà sortie va bientôt sortir ? Je n'ai pas vu de mention à ce propos.
0  0 
Avatar de The F0x
Nouveau membre du Club https://www.developpez.com
Le 02/04/2019 à 8:14
Citation Envoyé par NBoulfroy Voir le message
En revanche, j'avais cru comprendre que la prochaine version estampillée "LTS" de Java serait la version 12 mais, elle est déjà sortie va bientôt sortir ? Je n'ai pas vu de mention à ce propos.
Non la LTS après Java 8 est Java 11 (avec un end of primary support pour Septembre 2023, soit 5 ans de support), la suivante devrait être Java 14. cf -> Java SE support roadmap

Sinon Java 12 est bien sorti le mois dernier, le 21 mars il me semble mais ce n'est pas une LTS, donc a réserver aux tests et aux experimentations.
0  0 
Avatar de The F0x
Nouveau membre du Club https://www.developpez.com
Le 02/04/2019 à 8:19
Citation Envoyé par dfiad77pro Voir le message
Ayant connu les 2 cas , migrer du Framework .net 4.5.1 au 4.7 me semble plus simple que de passer de java 7--> 8 ou de 8 à 11.
Le passage de 8 à 11 est moins douloureux je trouve que de 7 à 8. le seul truc un peu sensible c'est la modularisation pour la gestion des dépendances mais avec de bon tests on trouve assez vite les dépendance a reconfigurer.
0  0 
Avatar de NBoulfroy
Membre éclairé https://www.developpez.com
Le 02/04/2019 à 9:55
Citation Envoyé par The F0x Voir le message
Non la LTS après Java 8 est Java 11 (avec un end of primary support pour Septembre 2023, soit 5 ans de support), la suivante devrait être Java 14. cf -> Java SE support roadmap

Sinon Java 12 est bien sorti le mois dernier, le 21 mars il me semble mais ce n'est pas une LTS, donc a réserver aux tests et aux experimentations.
Merci pour la précision, j'avoue suivre de loin ce langage car je ne travail pas dessus (professionnellement comme personnellement).
0  0 
Responsables bénévoles de la rubrique Java : Mickael Baron - Robin56 -

Partenaire : Hébergement Web