在云遷移的過去十年中，針對Java應用程序的威脅模型以及我們需要保護它們的方式發生了變化。OpenJDK已經在這方面做出了一個積極的改變，它棄用了舊的SecurityManager，這是一個保護過去AOL CD和紙質地圖時代的遺跡。安全方面的下一個積極變化是加強軟件組件的供應鏈，了解正在運行的軟件和易受攻擊的軟件，并與數據面臨風險的非技術專家溝通這些信息。如果你也對java感興趣，不妨報個java培訓班，有專業講師面授指導教學，還有更加系統全面的課程，讓學習更科學，更有效。

　　這種威脅模型的一部分是由去年的Log4j等易受攻擊的庫驅動的。盡管Log4j是一個很棒的日志庫，并且在補丁方面非常活躍，但許多團隊都在努力確定需要在哪里應用這些補丁。對于了解自己的代碼并能夠部署的Java開發人員或團隊來說，補丁很簡單——你更新了一個庫，就這樣了。但現實情況是，軟件的發展速度很快，往往會將這些技術專家的控制權交給那些不具備在這個級別管理問題的專業知識的利益相關者。在一場爭奪戰中，不了解Java細節的團隊四處尋找，包括.NET軟件和Python論壇。魁北克政府關閉了服務，直到他們知道Log4j在哪里。這種干擾是無效的，不能保護我們的數據。

　　Java應用程序威脅模型的一個主要部分現在涉及跟蹤組件并了解我們的應用程序包含已知易受攻擊組件(如Log4j)的位置的能力。

　　常見的Java應用程序的供應鏈是什么?

　　看待供應鏈的一個簡單方法是，大多數參與者是生產者和/或消費者。想學習有關java的更多技能，不妨報個java培訓班，這是快速掌握java技能的有效方法，可以讓你少走很多彎路。企業架構師可能已經熟悉這個類比，因為供應鏈像隊列一樣移動，因此可以使用類似的術語。這種供應鏈的例子包括:

　　l 像Maven Central這樣的存儲庫是JAR文件的生產者。他們將這些組件提供給開發人員或構建系統，他們是這些JAR文件的使用者。

　　l 開發人員使用JAR文件并生成將應用程序組合在一起的新代碼。一些開發人員生產的庫被送回Maven Central，后者是用戶。

　　l 構建環境使用開發人員的自定義代碼和repo庫來生成應用程序、容器或其他捆綁包。

　　l 當應用程序部署到環境或發送給客戶時，通常會結束供應鏈。

　　l 對于購買的COTS軟件，供應商是生產商，運營商通常是消費者。在內部，供應商有自己的軟件供應鏈。

　　最終目標是將應用程序轉移到生產環境并運行它們——這個生產環境只是一個消費者，因為它不會產生新的工件(在DevOps周期中，生產的輸出是反饋)。在java培訓中，有系統全面的理論知識和企業級實戰項目，可以讓你真正掌握java知識和技能，更好地進行項目開發。

　　評估“軟件供應鏈”背后的主要驅動力是快速檢索三個問題的答案:

　　1.我有什么軟件，包括組成更大系統的組件?

　　2.當一個軟件或庫被識別為易受攻擊時，它會影響我嗎?如果會，在哪里?

　　JVM如何管理我的Java應用程序的供應鏈?

　　目前有許多方法用于清點應用程序。定制軟件通常使用工具在CI/CD管道中創建SBOM;Maven通過其依賴項：樹插件提供了這一點。另一種方法涉及容器掃描，以分析軟件運行的包裝環境。另一種方法是將代理集成到軟件中。然而，每種方法都需要一個團隊在供應鏈的某一步驟中采取行動，而不捕捉通常部署在這些步驟之外的生產漂移或下載項目。JVM擁有的一個獨特優勢是，它必須無處不在才能運行軟件，而且JVM已經擁有了必要的信息，因為它負責加載代碼。

　　Azul提供了兩個JVM，作為其他Java實現的替代品。除了更快地運行應用程序并降低運營成本外，10月份的PSU版本還實施了漏洞檢測的第一個版本，以幫助處理供應鏈威脅。想學習java的同學不妨報個Java培訓班，可以節省學習時間，提高學習效率，在短時間內學有所成，還能找到一份不錯的工作。

　　在供應鏈威脅模型中，JVM還提供了驗證信任的另一個優勢。由于供應商和承包商制作自己的SBOM來識別組件，因此信息可能會不正確。承包商可能會在組件中隱藏一個易受攻擊的庫，假設它們可以避免命名空間沖突。通過使用JVM生成和/或驗證SBOM，組件檢測可以是字節碼感知的。JVM可以理解“代碼形狀”或簽名，并根據組件所做的而不是它們所宣稱的內容來匹配組件，而不是簡單地查看文件來確定每個文件所聲稱的內容。Azul在Java社區工作了十多年的性能分析工作，他創建了一個用于性能代碼識別的云數據庫，并能夠將相同的方法應用于安全問題。

　　通過加速Java增強安全控制

　　當JVM執行跟蹤組件的工作時，一個關鍵好處是能夠檢測JVM上運行的所有工作負載，而不僅僅是安全控制所涉及的工作負載。目前正在使用其他方法來庫存組件的團隊應該繼續這樣做——目標是縱深防御，每個控件一起工作以捕捉其他控件可能錯過的東西。通過以生產速度工作，Azul漏洞檢測等較新技術正在“向右移動”，以提供對可能丟失的項目的生產速度驗證，或節省集成和掃描各處Java軟件的工作。Java培訓中有很多實操項目鞏固你所學的知識，讓你擁有一定的項目經驗，在以后找工作時，比別人更有競爭力。