Oracle планирует убрать из Java встроенную поддержку сериализации
Марк Реинхольд (Mark Reinhold), главный архитектор платформы Java, считает, что добавление в 1997 году в язык Java поддержки сериализации объектов было ужасной ошибкой, которую приходится расхлёбывать в виде всё вновь и вновь всплывающих критических уязвимостей в различных продуктах на Java. По мнению Реинхольда, от трети до половины всех уязвимостей в Java-проектах связаны с сериализацией (кодированием объектов в последовательность байт для их сохранения или передачи), которая в силу простоты применения для решения многих задач провоцирует разработчиков на необдуманное использование.
Из соображений безопасности в долгосрочной перспективе Oracle планирует прекратить встроенную поддержку сериализации, предложив в качестве замены защищённый компактный фреймворк. Во фреймворке будет обеспечена возможность безопасной сериализации Java-версии классов данных и графов записей с возможностью манипуляции сериализированными данными в форматах JSON и XML. План будет реализован в рамках проекта Amber, сфокусированного на продвижении новых возможностей языка.
© OpenNet