Java-Laufzeitumgebungen (JRE) und Java Development Kits (JDK)

Java-Laufzeitumgebungen (JRE) und Java Development Kits (JDK) der Oracle Corporation werden stetig aktualisiert, um deren Sicherheit zu verbessern. Evaluierung und Bewertung von Java-Sicherheits-Patches ist bei der Governikus KG als ständiger Prozess etabliert.

Prozess der technischen Bewertung von Gefährdungen

Als ständiger Prozess findet eine technische Bewertung von Gefährdungen durch unsere Technology Coaches statt. Dies betrifft sowohl die in Governikus Produkten eingesetzten Technologien und die verwendeten Drittanbieterprodukte, als auch die Sicherheit und Verfügbarkeit der Infrastruktur. Dabei werden alle einschlägigen Quellen überwacht und bewertet, die über diese Produkte berichten. Trifft eine Sicherheits- oder Verfügbarkeits-relevante Gefährdung für uns zu, wird über bewährte Verfahren, wie Software-Aktualisierung, Mailings oder Patches, sofort reagiert. So wird die Sicherheit der ausgelieferten Governikus Produkte gewährleistet und dokumentiert.

Java in Client-Software der Governikus KG

Java-basierte Client-Software der Governikus KG wird mit einer eigenen JRE ausgeliefert. Diese JRE wird in ein eigenes Verzeichnis installiert und ist damit unabhängig von anderen Java-Versionen, Java-Pfadangaben und Umgebungsvariablen auf demselben Rechner. Wenn diese anderen Java-Versionen aktualisiert werden, betrifft dies die JRE der Governikus Client-Software nicht. Es kann passieren, dass zwischen zwei Releases einer Client-Software mehrere Java-Sicherheits-Patches von der Oracle Corporation veröffentlicht werden. Diese Java- Sicherheits-Patches werden über den Prozess "technische Bewertung von Gefährdungen" sofort evaluiert. Wenn ein Java-Sicherheits-Patch Fehler behebt, die für die Governikus Client-Software nicht relevant sind, besteht kein Grund, ein neues Release mit einer aktualisierten JRE zu veröffentlichen. Wir vermeiden damit unnötige Installationsaufwände beim Kunden.

Java in Server-Software der Governikus KG

Das Vorgehen bei Governikus Server-Software ist ähnlich. Unseren Kunden wird für ein neues Release die Installation eines bestimmten JDKs empfohlen. Auch Patches von JDKs werden im Prozess der technischen Bewertung von Gefährdungen stetig überwacht. Wenn ein JDK-Sicherheits-Patch Fehler behebt, die für die Governikus Server-Software nicht relevant ist, gibt es keine Benachrichtigung an die Kunden. Eine Aktualisierung darf nur nach Freigabe durch die Governikus KG erfolgen. Bei Governikus Server-Software kann, wenn erforderlich, Support für die JDK-Aktualisierung angeboten werden.