在舊的Java版本上運行應用程序

Question

與在較舊的版本（最有可能不受支持的Java版本）上運行應用程序相關的風險是什么？

假設我有一個需要安裝並指向Java 6的桌面應用程序。 雖然我了解與運行暴露於Internet連接的應用程序相關的風險（例如，通過瀏覽器插件），但我不確定Java的舊版本如何對未暴露於外部網絡的應用程序和環境帶來風險（如果所有）？

Answer 1

我不確定Java的舊版本如何對未暴露於外部網絡的應用程序和環境構成風險（如果有的話）？

如果完全不使用舊的JVM，那么它¹ 可能沒有任何風險...直到意外使用等。

如果在舊JVM的Java應用程序不使用網絡的話，那么有可能是 ¹是使用舊的JVM中沒有明顯的風險^2。

如果應用程序使用組織內部網絡上的網絡，則存在風險：

• 您的組織防火牆可能沒有您想象的那么安全。
• 有人可以通過多種方式進入您的內部網絡。 例如，通過（不同的）特洛伊木馬程序等。 一旦進入，他們就可以對您的內部服務器發起攻擊。
• 不要低估無賴員工的可能性。

---

您聲明不升級的原因：

這是運行它的先決條件之一，如果我單獨安裝Java 8來啟動它，則會收到錯誤消息。

這意味着您正在使用一個過時或維護不足的應用程序。 這本身就是一種風險。

將應用程序升級到Java 8兼容版本，或過渡到將在Java 8上運行並在將來支持³的應用程序的替代版本。 （並且下次，請更加注意您/組織投資的應用程序的升級/支持/壽命！）

---

^{1-但沒人能完全確定這一點。}

^{2-但是存在潛在的風險，因為如果舊的JVM中以前存在未公開的安全問題可以被利用，則不會對其進行修補。}

^{3-或選擇一個開源應用程序，如果需要的話，您將能夠支持自己。}

Answer 2

如果應用程序非常依賴JRE的版本，建議將應用程序與所需的JRE捆綁在一起。 （它不僅適用於Java，而且對任何運行時都有效），因此您可能擁有專用於您的應用程序的JRE6副本

我不確定Java的舊版本如何會對應用程序和環境帶來風險

恕我直言，最大的問題是，如果您使用過時的JRE作為系統注冊的運行時，則它將用於運行任何jar文件或基於Java的應用程序，而用戶不會知道使用它。 自JRE7和8以來，已解決了許多安全性和性能問題，並添加了許多功能。

所以-如果您確實必須使用Java 6，請不要安裝它，只需復制JRE（發行許可證允許）。

您可以指向應用程序腳本內的JRE。 在任何情況下，都不應使用系統/用戶范圍的環境變量（JAVA_HOME）指向過時的JRE。