Oracle
2024-12-06
Java 17 - Koniec darmowej licencji
Z tego wpisu dowiesz się o
Zmianie obowiązującej umowy dla produktu Java 17. Zagrożeniach, jakie niesie ze sobą zmiana obowiązującej umowy dla produktu Java 17. Możliwych sposobach poprawnego licencjonowania środowiska Java. Możliwych następstwach pobierania poprawek dla produktu Java.
Spis treści
Zasady licencjonowania produktu Java 17
Od momentu wydania, Java 17 jest licencjonowana na podstawie umowy NFTC - Oracle No-Fee Terms and Conditions (NFTC). Umowa pozwala użytkownikom na bezpłatne wdrażanie i użytkowanie oprogramowania, w tym w komercyjnych środowiskach produkcyjnych.
Zgodnie z wytycznymi Oracle, umowa licencyjna NFTC dla Java 17 jest ważna przez ograniczony czas, do roku po wydaniu kolejnej wersji LTS. Wraz z wydaniem Java 21 we wrześniu 2023 r. licencja NFTC dla Java 17 wygasa w październiku 2024 r. Kolejne aktualizacje będą otrzymywane w ramach umowy - Oracle Technology Network License Agreement for Oracle Java SE.
Java w ramach umowy licencyjnej OTN, może być wykorzystywana za darmo w poniższych dozwolonych celach:
- Do użytku osobistego na komputerze stacjonarnym lub laptopie, na przykład do grania w gry lub uruchamiania innych aplikacji osobistych
- Do opracowywania, testowania, prototypowania i demonstrowania aplikacji, w tym do użytku przez/z profilerami, debugerami i narzędziami Integrated Development Environment
- Do użytku z niektórymi zatwierdzonymi produktami, takimi jak Oracle SQL Developer lub jako użytkownik końcowy aplikacji oprogramowania utworzonej przez zatwierdzony produkt. (zwane dalej „Załącznikiem A” i „Załącznikiem B” w Umowie licencyjnej OTN dla Java SE)
- Do użytku z określonymi produktami Oracle Cloud Infrastructure
Co to oznacza?
Możesz dalej korzystać z produktu Java 17 bez stosowania poprawek zabezpieczeń wydanych po październiku 2024 r. W tym scenariuszu produktu Java 17 nadal będzie można używać bezpłatnie, ponieważ umowa licencyjna NFTC będzie nadal obowiązywać w przypadku wersji bez poprawek.
Warto jednak wziąć pod uwagę fakt, iż korzystanie z produktu Java 17 bez najnowszych poprawek zabezpieczeń może narazić organizacje na potencjalne zagrożenie bezpieczeństwa - luki. W miarę pojawiania się nowych zagrożeń brak aktualnych poprawek i zabezpieczeń może sprawić, że systemy będą podatne na ataki, co stwarza poważne ryzyko dla działalności biznesowej.
Plan postępowania z produktem Java 17
W związku ze zmianą obowiązującej umowy licencyjnej dla produktu Java 17 po październiku 2024 r., organizacja powinna się zastanowić nad możliwymi scenariuszami korzystania z produktu Java 17:
- Organizacja powinna dokonać inwentaryzacji zainstalowanych wersji Java 17 oraz ocenić pod względem bezpieczeństwa czy uruchomienie Javy 17 bez najnowszych poprawek zabezpieczeń jest bezpieczne
- Organizacja powinna uwzględnić w budżecie zakup licencji komercyjnych w ramach modelu subskrypcji Oracle Java SE Universal Subscription, jeśli zajdzie potrzeba zainstalowania najnowszych poprawek zabezpieczeń dla produktu Java 17
- Należy także rozważyć alternatywne dystrybucje Java, min. OpenJDK lub te dostarczane przez zewnętrznych dostawców, które mogą oferować inne warunki licencjonowania i opcje wsparcia
Następstwa pobierania poprawek dla produktu Java
Patrząc z punktu technicznego możliwe jest pobieranie poprawek bezpieczeństwa dla produktu Java 17 bez posiadanej licencji. Należy jednak pamiętać, że takie działania mogą nieść ze sobą różne konsekwencje, jak chociażby kary za korzystanie z produktu bez licencji, utrata dobrego imienia organizacji.
Nasuwa się pytanie, skąd Oracle może wiedzieć o naszych działaniach? Otóż Oracle monitoruje pobrania produktów Java oraz poprawek bezpieczeństwa dla produktu Java. Po zebraniu logów z odpowiednią liczbą pobrań Oracle skontaktuje się z nami w celu przeprowadzenia weryfikacji zgodności korzystania z produktów Java w odniesieniu do towarzyszących im umów licencyjnym.
Zagrożenie weryfikacją zgodności licencyjnej ze strony Oracle jest bardzo duże - z jednej strony monitorowanie pobrań, z drugiej nieumiejętne działania użytkownika polegające na próbach deinstalacji nielicencjonowanych produktów Java. Oracle za pomocą udostępnionego narzędzia do deinstalacji produktu Java może także monitorować, jaką wersję produktu Java chcemy odinstalować. Narzędzie wysyła dane diagnostyczne do Oracle (dane zawierają min. informacje o wersji produktu Java).
Czujesz zagrożenie, Nie chcesz zostać SAM?
Jeżeli nie chcesz, aby to Oracle pierwszy wskazał Ci nielicencjonowane produkty Java, możesz zweryfikować instalacje z doświadczonym partnerem w zakresie licencjonowania i zarządzania oprogramowaniem Oracle.