ในขณะที่ Steve Ballmer ให้สัมภาษณ์กับ BusinessWeek เรื่องการปรับโครงสร้างองค์กรนั้น มีประเด็นที่น่าสนใจ ดังนี้

ออราเคิลประกาศเปลี่ยนสัญญาอนุญาตระบบฐานข้อมูล Berkeley DB ในรุ่น 6.0 เป็นต้นไป เป็น AGPL แทนที่ไลเซนส์แบบ Sleepycat เดิม

AGPL เป็นสัญญาอนุญาตที่ "แน่น" กว่า GPL ปกติค่อนข้างมาก เงื่อนไขสำคัญที่เพิ่มขึ้นคือการปรับปรุงโค้ดแม้ไม่ได้ส่งซอฟต์แวร์ให้ลูกค้าแต่ให้บริการแบบออนไลน์ก็ต้องเปิดซอร์สโค้ดที่แก้ไขไปด้วยเช่นกัน มันถูกออกแบบมาเพื่อบีบให้ผู้ให้บริการออนไลน์ที่ต้องการใช้งานซอฟต์แวร์กลุ่มนี้ต้องซื้อซอฟต์แวร์รุ่นเพื่อการค้า หรือไม่ก็ต้องใช้ตัวอื่นแทนที่

ข่าวความร่วมมือระหว่างไมโครซอฟท์และออราเคิลประกาศออกมาเป็นทางการแล้วในวันนี้ โดยออราเคิลจะรับรองการทำงานซอฟต์แวร์ของตัวเองหลายตัวบน Hyper-V และ Azure แม้ทุกวันนี้อาจจะมีผู้ใช้งานซอฟต์แวร์ในรูปแบบนี้อยู่แล้ว แต่การรับรองเป็นทางการนี้ก็ทำให้ใช้ไลเซนส์ในแบบ license mobility ทำให้ย้ายซอฟต์แวร์ไปมาระหว่างศูนย์ข้อมูลภายในและศูนย์ข้อมูลภายนอกที่ใช้บริการประมวลผลแบบกลุ่มเมฆได้

ความร่วมมือสำคัญอีกอย่างหนึ่ง คืือ ไมโครซอฟท์จะมีบริการ Oracle Database, Oracle WebLogic, รวมถึง Oracle Linux ไว้บน Azure สำหรับลูกค้าที่ไม่มีไลเซนส์ของออราเคิลอยู่แล้วก็สามารถเช่าใช้งานได้ทันที

ออราเคิลเตรียมประกาศความร่วมมือกับบริษัขนาดใหญ่หลายบริษัทเพื่อสร้างพันธมิตรให้บริการ โดยจะระบุรายละเอียดอีกครั้งในงานแถลงข่าวสัปดาห์หน้า

NetSuite และ Salesforce นั้นเป็นลูกค้าของออราเคิลอยู่แล้ว ความร่วมมือใหม่ที่จะประกาศจึงไม่ชัดเจนนักว่าจะมีอะไรเพิ่มเติมเข้ามา แหล่งข่าวที่ไม่ต้องการเปิดเผยตัวระบุกับ New York Times ว่าข้อตกลงนี้จะเป็นการแชร์ข้อมูลข้ามแอพพลิเคชั่นที่ทำได้ง่ายขึ้น

ขณะทีความน่าสนใจจะไปตกกับไมโครซอฟท์ แม้ว่าไมโครซอฟท์จะเป็นผู้ให้บริิการโครงสร้างพื้นฐานผ่าน Azure แต่ไมโครซอฟท์ก็เป็นคู่แข่งกับออราเคิลจาก SQL Server และซอฟต์แวร์อื่นๆ ที่ทับสายกันไปมา ความร่วมมือที่ชัดเจนที่สุดคงเป็นการรองรับ Oracle บน Azure ที่คู่แข่งอย่างอเมซอนนั้นรองรับไปก่อนนานแล้ว

ออราเคิลเปิดตัว Oracle Database 12c ตั้งแต่ปีที่แล้ว แม้ตอนนี้ยังไม่ออกตัวจริงแต่ทางซีอีโอ Larry Ellison ก็เริ่มพูดถึงเวอร์ชันต่อไป Oracle Database 12.1c แล้ว

ฟีเจอร์ใหม่ของ Oracle 12.1c จะเน้นเรื่องการใช้งานฐานข้อมูลแบบโหลดทั้งหมดใส่หน่วยความจำ (in-memory database) แทนการอ่านข้อมูลจากดิสก์เพราะมีประสิทธิภาพดีกว่ากันมาก และคู่แข่งอย่าง SAP ก็ล้ำหน้าไปก่อนแล้วด้วย SAP HANA

อย่างไรก็ตาม Ellison ยืนยันว่า Oracle 12.1c จะมีประสิทธิภาพดีกว่า SAP HANA มากจนถึงขนาดว่า HANA สู้ไม่ได้เลยทีเดียว (แต่ออราเคิลก็ยังไม่บอกว่าจะออก 12.1c เมื่อไร)

จาก MySQL อาจไม่ใช่ซอฟต์แวร์เสรีอีกต่อไป นั้น มีนักพัฒนารายหนึ่งที่ใช้ชื่อว่า "Norvald Ryeng" ได้รายงานข้อผิดพลาด (bug) นี้ลงใน MySQL Bugs โดยอยู่ในหัวข้อ MySQL Bugs: #69512: Wrong license in man pages in Community Server

โดยสรุปได้ว่า "ในหน้าสัญญาอนุญาตดังกล่าวนั้นเป็นการดึง copyright header ที่ผิดพลาดมาจากชุดอื่นที่ไม่ใช่ GPL packages ในระบบสร้างเอกสารหน้านั้นๆ" ทำให้ต้องทำการแก้ไขในรุ่นต่อไปในอนาคต ซึ่งสุดท้ายข้อผิดพลาดนี้จะถูกแก้ไขใน MySQL 5.1.70, 5.5.32, 5.6.12 และ 5.7.1-m11 ตามลำดับ

มีคนไปพบว่าหน้าเพจที่อธิบายเกี่ยวกับเงื่อนไขข้อตกลงการใช้งาน MySQL จากเวอร์ชัน 5.5.30 ไป 5.5.31 ถูกเปลี่ยนแปลงในส่วนเงื่อนไขข้อตกลงใบอนุญาตการใช้งาน โดยมิได้มีการประกาศแจ้งไปยังผู้ใช้งานล่วงหน้า

จากข้อความเดิม

This documentation is free software; you can redistribute it and/or modify it only under the terms of the GNU General Public License as published by the Free Software Foundation; version 2 of the License.

ไปเป็น

บริษัทไอทีองค์กรรายใหญ่ๆ ทุกวันนี้หันมาพูดเรื่อง cloud/big data กันหมดแล้ว ส่วนรายไหนจะโดดเด่นกว่ากันก็ต้องพิจารณาที่ "จุดเด่น" ของค่ายนั้นๆ ว่ามีอะไรที่สร้างความแตกต่างจากคนอื่นได้บ้าง

ผมมีโอกาสได้สัมภาษณ์ผู้บริหารของออราเคิลคือคุณ Chandru Relwani มีตำแหน่งเป็น Senior Director, CRM Applications Product Management ของ Oracle ภูมิภาคเอเชียแปซิฟิกและญี่ปุ่น (สำนักงานอยู่ที่สิงคโปร์) ในประเด็นด้านยุทธศาสตร์กลุ่มเมฆของออราเคิล

ปัญหาความปลอดภัยของ Java ในรอบปีสองปีที่ผ่านมาสร้างชื่อเสียงทางลบอย่างมาก จนออราเคิลต้องออกมาประกาศนโยบายด้านความปลอดภัยใหม่ของ Java ชุดใหญ่ ดังนี้

ออราเคิลอัพเดตซีพียูสำหรับเซิร์ฟเวอร์ในตระกูล SPARC T5 โดยเพิ่มคอร์ภายในเป็น 16 คอร์ต่อซ็อกเก็ต พร้อมกับตัวควบคุมหน่วยความจำ 4 ชุดบนตัวซีพียู ทำให้ทำความเร็วการส่งข้อมูลกับหน่วยความจำเป็นสองเท่าตัว ส่วนตัวบอร์ดจะสามารถรองรับซีพียูได้ 8 ซ็อกเก็ต ทำให้ได้ 128 คอร์ต่อบอร์ด

ชุดคำสั่งใหม่ที่เพิ่มเข้ามาใน SPARC T5 เน้นเรื่องของการรักษาความปลอดภัยมากขึ้น เป็นแนวทางเดียวกับอินเทลที่ช่วงหลังเพิ่มชุดคำสั่ง AES-NI เข้ามา ทางฝั่งของ SPARC นั้นเพิ่มชุดคำสั่งทั้งการเข้ารหัสแบบ AES, และ DES รวมไปถึงกระบวนการอื่นๆ เช่น SHA, MD5, ECC, และ RSA ฟีเจอร์เหล่านี้ทำให้การเข้ารหัสรูปแบบต่างๆ ทำได้เร็วขึ้น

Oracle ออกมาประกาศว่า Java 8 ที่มีกำหนดออกเดือนกันยายนนี้ จะถูกเลื่อนออกไปเป็นปี 2014 (กำหนดเวลายังไม่ชัดเจน แต่น่าจะเป็นไตรมาสแรกของปี 2014)

เหตุผลที่เลื่อนเป็นเพราะปัญหาด้านความปลอดภัยของ Java ที่รุมเร้าอยู่ในตอนนี้ ทำให้ทีมงานต้องการเวลาเพิ่มเติมในการปรับปรุงกระบวนการพัฒนา Java ให้ปลอดภัยกว่าเดิม

ออราเคิลปล่อยแพตซ์ความปลอดภัยจำนวนมากให้กับสินค้าหลายตัว ตั้งแต่ระบบฐานข้อมูล, แอพพลิเคชั่นเซิร์ฟเวอร์, มิดเดิลแวร์, และซอฟต์แวร์จัดการเช่น Siebel/PeopleSoft รวมไปถึงขาประจำอย่างจาวาไปพร้อมกัน

แพตซ์ทั้งหมดเป็นแพตซ์ความปลอดภัยในระดับ critical ออราเคิลแนะนำให้ลูกค้าทุกรายอัพเดตให้เร็วที่สุดเท่าที่เป็นไปได้ บั๊กหลายตัวสามารถข้ามผ่านระบบการล็อกอินเพื่อโจมตีได้

ใครดูแลระบบไหนกันอยู่ตอนนี้อาจจะต้องเร่งมาทดสอบเพื่อเอาตัวใหม่ขึ้นกันเร็วสักหน่อยครับ

ออราเคิลออกแพตช์ให้ Java SE รอบเดือนเมษายน 2013 (นับเวอร์ชันเป็น Java 7 update 21 และ Java 6 update 45) ซึ่งแพตช์นี้แก้ปัญหาเรื่องช่องโหว่ใน Java ไปถึง 42 จุด ถือเป็นการอุดรูรั่วความปลอดภัยครั้งใหญ่สำหรับโลกของ Java

แพตช์ชุดนี้ยังเพิ่มหน้าต่าง dialog box แจ้งเตือนเมื่อผู้ใช้รัน Java applet ที่มีความเสี่ยงด้วย (เมื่อก่อนเคยมีหน้าต่างนี้ แต่มีบั๊กไม่ยอมเช็คใบรับรองดิจิทัลที่ถูกเพิกถอน)

Red Hat ประกาศรับช่วงบทบาทการเป็นผู้นำโครงการ OpenJDK 6 ต่อจากออราเคิล หลังจากออราเคิลหยุดสนับสนุน Java 6 อย่างเป็นทางการเมื่อช่วงสิ้นเดือนกุมภาพันธ์ที่ผ่านมา

Red Hat อธิบายว่าหน่วยงานจำนวนมากยังใช้ Java 6 อยู่ (โดยเฉพาะลูกค้า JBoss ของบริษัทเอง) และต้องการสนับสนุน Java 6 ต่อไปผ่านโครงการ OpenJDK ที่เป็นโอเพนซอร์ส (Red Hat มีส่วนกับ OpenJDK มานานแล้ว แต่ไม่ได้เป็นผู้นำโครงการ)

ที่มา - Red Hat

ต่อจาก พบอีก 2 ช่องโหว่ใหม่ใน Java รุ่นล่าสุด 7u15 ออราเคิลก็ประกาศออก Java 7u17 (ข้ามเลข 16) เพื่อแก้ปัญหาทั้ง 2 จุดแล้ว

ออราเคิลให้ข้อมูลว่าได้รับรายงานช่องโหว่ดังกล่าวเมื่อวันที่ 1 กุมภาพันธ์ ซึ่งช้าไปสำหรับการออกแพตช์รอบ 19 กุมภาพันธ์ และตั้งใจจะรวมแพตช์ไว้ในการออกรอบ 16 เมษายนแทน แต่เมื่อมีรายงานว่าช่องโหว่นี้ถูกใช้งานในวงกว้าง บริษัทจึงตัดสินใจออกแพตช์ชุดนี้ทันที

อย่างไรก็ตาม ผู้เชี่ยวชาญความปลอดภัย Security Explorations จากโปแลนด์ ก็ประกาศว่าพบช่องโหว่ใหม่ของ Java อีก 5 จุด ตอนนี้ยังไม่มีรายงานการโจมตีด้วยช่องโหว่ชุดใหม่นี้ และส่งข้อมูลให้ออราเคิลเรียบร้อยแล้ว

Adam Gowdiak นักวิจัยด้านความปลอดภัยจากบริษัท Security Explorations ประกาศว่าค้นพบช่องโหว่ใหม่อีก 2 จุด ซึ่งใช้ได้กับ Java SE 7 Update 15 รุ่นล่าสุดในปัจจุบัน (ไม่มีผลกับ Java 6)

ช่องโหว่ 2 จุดนี้คล้ายกับช่องโหว่ชุดก่อนๆ หน้านี้ นั่นคือสามารถลัดระบบความปลอดภัย sandbox ของ Java ได้

Gowdiak ส่งข้อมูลของช่องโหว่ไปยังออราเคิลตามธรรมเนียมของวงการ ปัญหาคือออราเคิลยอมรับว่าเป็นช่องโหว่จริงเพียงจุดเดียวเท่านั้น ส่วนอีกจุดหนึ่งออราเคิลระบุว่าเป็น "พฤติกรรมที่อนุญาตอยู่แล้ว" (allowed behavior) ไม่ถือเป็นช่องโหว่ด้านความปลอดภัยแต่อย่างใด

ทางทีมของ Gowdiak ยืนยันว่าเป็นช่องโหว่อย่างแน่นอน และถ้าออราเคิลยังยืนยันแบบเดิมอยู่ เขาก็จะเปิดเผยข้อมูลของช่องโหว่ต่อสาธารณะต่อไป

ออราเคิลยื่นเอกสารอุทธรณ์ฉบับเต็มที่ประกาศไว้ตั้งแต่เดือนพฤศจิกายนที่ผ่านมา คัดค้านคำตัดสินของศาลชั้นต้นที่ระบุว่า API ไม่มีลิขสิทธิ์ ตรงกับแนวทางก่อนหน้านี้ที่การอุทธรณ์จะเน้นหนักไปที่ API เพราะสิทธิบัตรในส่วนของ JVM หลายตัวนั้นกำลังจะหมดอายุแล้ว

ส่วนที่เป็นข่าวที่สุด คงเป็นส่วนคำอุปมาอุปมัยระหว่าง API ของจาวากับนิยายเรื่องแฮร์รี พอตเตอร์ ว่า

ปีที่แล้วออราเคิลประกาศโอเพนซอร์ส JavaFX แต่กระบวนการผ่านไปหลายเดือนก็ยังไม่สมบูรณ์ แต่ระหว่างที่กระบวนการโอเพนซอร์สเดินหน้าไป ทางออราเคิลก็ออกมาประกาศว่าโครงการอีกส่วนหนึ่งที่จะเปิดออกมาคือ JavaFX สำหรับ Android และ iOS

เป็นเรื่องปกติของการโอเพนซอร์สโครงการขนาดใหญ่ที่จะใช้เวลาหลายเดือนจนถึงเวลานับปี เช่น โครงการ Solaris ของซันในยุคก่อนจะโอเพนซอร์สก็ต้องใช้เวลานานเพราะติดโค้ดบางส่วนที่ซื้อจากบริษัทภายนอกมาอีกที

ไลเซนส์ที่ปล่อยมาสำหรับ OpenJFX คือ GPLv2 + Classpath Exception ทำให้สามารถลิงก์ JavaFX ทั้งแบบ static และแบบ dynamic เข้ากับแอพพลิเคชั่นได้โดยไม่ต้องเปิดซอร์สแอพพลิเคชั่นของตัวเองเอง

จากข่าว ออราเคิลออกแพตช์ความปลอดภัย Java รอบเดือนกุมภาพันธ์ 2013 ทางออราเคิลออกมาชี้แจงว่า การอัพเดตแพตช์รอบก่อนรีบออกเพื่อแก้ปัญหาความปลอดภัยเร่งด่วน ทำให้ยังปิดช่องโหว่อื่นๆ ไม่ครบ และจะออกแพตช์รอบใหม่ในวันที่ 19 กุมภาพันธ์นี้

ออราเคิลยังไม่แจ้งว่าช่องโหว่ที่จะแก้ไขในรอบ 19 กุมภาพันธ์มีอะไรบ้าง แต่ก็บอกว่าผู้ใช้หรือหน่วยงานที่ไม่ได้อัพเดตรอบก่อน สามารถรออัพเดตรอบ 19 กุมภาพันธ์ได้ทีเดียวเลยครับ

ที่มา - Oracle

หลังจากประสบปัญหาเรื่องความปลอดภัยอย่างต่อเนื่อง ออราเคิลก็ตัดสินใจออกแพตช์ความปลอดภัยของ Java SE ประจำเดือนกุมภาพันธ์ให้เร็วกว่าเดิม จากเดิมที่มีกำหนดออกวันที่ 19 กุมภาพันธ์ ก็เปลี่ยนมาออกตั้งแต่วันที่ 1 กุมภาพันธ์แทน

แพตช์ชุดนี้มีชื่ออย่างเป็ฯทางการว่า Critical Patch Update for Java SE – February 2013 ใช้กับ Java 5u38, 6u38, 7u11 ขึ้นไป รวมถึง JavaFX 2.2.4 ด้วย โดยตัวเลขเวอร์ชันของอัพเดตนี้จะกลายเป็น 6u39, 7u13 และ JavaFX 2.2.5 ครับ

เว็บไซต์ ZDNet ทดสอบการติดตั้ง Java บนวินโดวส์ด้วยวิธีการต่างๆ และพบว่าตอนนี้ Java มีเทคนิคแนบเนียนหลายอย่างในการแถมโปรแกรม Ask Toolbar กับ McAfee Security Scanner แม้ผู้ใช้จะไม่ต้องการ

ต่อจากข่าว ออราเคิลออกแพตช์อุดช่องโหว่ Java แล้ว ผู้เชี่ยวชาญความปลอดภัยยังไม่เชื่อถือ

ล่าสุดมีนักวิจัยด้านความปลอดภัยจากบริษัท Security Explorations ในโปแลนด์ ออกมาให้ข้อมูลว่าพบช่องโหว่ 2 จุดใน Java 7 Update 11 ตัวล่าสุดที่เพิ่งออก โดยช่องโหว่นี้สามารถลัดขั้นตอนของ sandbox และรันโค้ดประสงค์ร้ายบนคอมพิวเตอร์ได้

ทาง Security Explorations แจ้งข้อมูลช่องโหว่ไปยังออราเคิลแล้ว (ไม่ได้เปิดเผยต่อสาธารณะ) ซึ่งช่องโหว่นี้เป็นช่องโหว่ใหม่ ไม่เกี่ยวกับช่องโหว่ก่อนหน้านี้ที่ผู้เชี่ยวชาญระบุว่า Java 7u11 ปิดไม่หมดด้วย

US-CERT หน่วยงานด้านความปลอดภัยไซเบอร์ของรัฐบาลสหรัฐ (สังกัดกระทรวงความมั่นคงแห่งมาตุภูมิ) ยังออกมาเตือนให้ผู้ใช้งาน Java สั่งปิดการทำงานของ Java ในเว็บเบราว์เซอร์ต่อไป แม้ว่าออราเคิลได้ออกแพตช์ Java 7u11 มาแก้ไขแล้วก็ตาม

US-CERT ให้เหตุผลว่าช่องโหว่ Java ตามข่าวก่อนหน้านี้ถูกใช้งานอย่างแพร่หลาย และมีความเป็นไปได้สูงว่าจะพบช่องโหว่ใหม่ๆ ในอนาคต ดังนั้นเพื่อเป็นการป้องกันตัว ผู้ใช้ควรปิดการใช้งาน Java ผ่าน Java Control Panel หรือหน้าจอตั้งค่าของ Java เอง

ผู้เชี่ยวชาญความปลอดภัยระบุว่า Java 7u11 ไม่ได้แก้ปัญหาทั้งหมด และผู้ใช้ยังมีโอกาสโดนมัลแวร์ได้ ถ้าโดนหลอกให้กดรันโค้ดประสงค์ร้ายด้วยวิธี social engineering

จากปัญหาช่องโหว่ร้ายแรงของ Java 7 และมีมัลแวร์เจาะระบบแล้ว ในที่สุดออราเคิลก็ออกแพตช์หมายเลข CVE-2013-0422 มาแก้ปัญหานี้แล้ว

นอกจากแพตช์ตัวนี้จะปิดช่องโหว่เดิมแล้ว ยังปรับค่า Java Security Level จากเดิม Medium เป็น High ซึ่งมีผลให้ผู้ใช้ต้องกดรัน Java Applet ด้วยตัวเองก่อนเสมอ เพิ่มความปลอดภัยไปอีกขั้นหนึ่ง ผู้ใช้ทุกคนสามารถอัพเดตได้ผ่าน Java Update ของระบบครับ

จากข่าว พบช่องโหว่ร้ายแรงของ Java 7 และมีมัลแวร์เจาะระบบแล้ว ล่าสุดมีผู้สร้างเบราว์เซอร์ 2 รายสั่งปิดการทำงานของปลั๊กอิน Java เพื่อป้องกันผู้ใช้จากการโจมตีแล้ว