Sembra che ci sia un nuovo grande buco di sicurezza rattoppato in Java ogni due settimane, e assumerei lo stesso discorso per altre piattaforme di sviluppo. Dopo anni di frustrazione cercando di convincere i clienti a installare e configurare un JRE compatibile sui loro sistemi, abbiamo iniziato a raggrupparne uno con il nostro software. (Con il raggruppamento, intendo che estraiamo una copia di JRE nella nostra directory di installazione: non installiamo JRE e lo configuriamo come predefinito di sistema.)
Il problema è che è una seccatura dover mantenere aggiornato questo JRE perché prima dobbiamo ripetere tutto per assicurarci che l'aggiornamento non abbia infranto nulla (ha rotto alcune delle nostre dipendenze di terze parti nel passato).
Quanto seriamente, se non del tutto, metteremo a rischio i nostri clienti se non aggiorniamo il nostro SDK / JDK e il runtime / JRE che ci associamo al nostro prodotto ogni volta che c'è un aggiornamento di sicurezza? È ragionevole aggiornare solo su un programma periodico, ad esempio una volta ogni 6 mesi?