近日,安全中心监测到2019年1月份之后,Oracle Java SE 8 的公开更新将不向没有商用许可证的业务、商用或生产用途提供,而面向单独个人用户使用的 Java SE 8 则不在受影响范围
       安全中心建议您及时检查线上 Java 版本,并结合企业内部实际业务情况,开展相应的评估。
【风险详情】
  Oracle JDK 8 自 2014年3月 发布,到 2019年1月 正式进入“End of Public Updates”(公共更新结束期),到期后将不再为大众提供免费 Bug 修复和安全维护,如需继续维护,则要「付费」获取更新或者技术支持,即2019年4月开始,如果用户未购买 Oracle 商业许可证,则无法获取最新修复补丁。
   1)对于个人开发者, Oracle Java SE 8 在 2020 年底前的公开更新不会有任何的使用影响,仍可免费使用
   2)对于企业使用者,要使用 2019 年 1 月以后发布的 Oracle Java SE 8 公开更新,需要获取商用许可证
【风险等级】
  风险
【安全影响】
   2019年4月后,未购买 Oracle 商用许可证的企业用户将无法获取 Oracle Java SE 8 的季度更新
【安全建议】
  Java有 OpenJDK 等社区版,对所有应用免费,其中除去部分付费许可证的高级特性不可用外,openJDK 和 Oracle JDK 本质几乎一致。
   针对这种情况,腾讯云安全团队有如下建议:
1)对于很多现有老项目,如果没有关键的安全问题,可保持版本不变,不跟进升级;
2)用户也可选择第三方发布的免费 openJDK 版本,但需要付出一定迁移成本;
3)升级到新版本 JDK(如JDK 9),比较适合新的开发项目;
4)付费使用 Oracle JDK更新,如果公司已购买了Oracle 商用许可证 ,则可继续使用 Oracle JDK 2019年1月后的更新,不受该问题影响。
【风险参考】