用Java的公司要小心了，Oracle又出手了

这两天，甲骨文（Oracle）又被曝出狠活，这次下手的目标则是Java。

• 涉及正式审计时，Oracle 会在审计开始前提前 45 天发出通知。使用 Java 的组织必须共享相关数据，如提供安装日期、路径、版本和安全补丁等详细信息，但这些数据的构成可以双方具体协商。进而 Oracle 提出其调查结果，企业可以审查并作出回应。
• 相较之下，软审计不太正式，Oracle 可能会从与企业 IT 部门的合规对话开始，进行初次接触，旨在收集一些信息。Oracle 后续基于使用 Java 安全下载记录来推动合规性。这些审计可能会升级，涉及 C 级高管和法律团队等等，推动交易。

• Java 下载和更新：如果你的组织中有人下载或更新过 Java，请注意。Oracle 会严密监控这些下载，其日志最长可达 7 年。
• 2023 年之前的 Java SE 许可证：对于在 2023 年 1 月之前购买 Java SE 许可证的用户，无法续订这些旧许可证。相反，你可能需要接受 Oracle 的软审计。
• 正式审计：拒绝与 Oracle 合作的组织，尤其是在安全下载方面，可能会面临正式的 Java 审计。
• 有限的 Oracle 软件使用：如果你的组织很少或根本不使用 Oracle 软件，你就更有可能成为审计目标。
• 缺乏 Oracle 云策略：没有 Oracle 云基础设施 (OCI) 或软件即服务 (SaaS) 策略的组织更容易受到审计。

• 选项一：签署一份三年（或更长时间）的协议。
• 选项二：支付一年的费用，外加三年的追溯使用费。

• 开发者们可以从 2019 年 1 月以来不再运行任何更新与安全补丁，但此举从安全角度来考量，并不可行。
• 将应用程序迁移到 Java 17，也可以避免这种变化，但这将涉及大量工作，对于许多人来说是不可行的。
• 由于涉及的工作量，将所有 Java 应用程序升级到最新版本的 OpenJDK 这一选项将是不受限制的。
• 可以选择切换到第三方 Java 产品，并将所有未经许可的 Oracle JDK 工作负载转移到 Oracle 云基础设施。
• 用户可以忍痛购买新的 Java SE 通用订阅，这就简单了，价格贵就贵点了。