【IT168 评论】尽管在过去六个月中，Oracle对Java的安全性做了重大改进，但根据安全公司Bit9的一份调查报道显示，Java仍是众多企业最大的安全隐患，因为这些企业的系统还在使用着过时的Java版本。Bit9公司在上周公布了这份报告，数据显示，在企业环境里，Java 6是使用最普遍的版本，而目前有超过了80%的企业电脑安装了Java。

　　Oracle在四月份就停止了对Java 6的支持，只有和Oracle有长期合作的企业客户才会继续得到安全更新。目前，Java 7是Oracle加强安全工作的重点版本，而Bit9的调查报道显示，只有15%左右的企业端点系统采用了该版本。

　　此外，大多数公司系统上所运行的Java 6，并不没有升级最新的安全更新补丁。根据Bit9的数据显示，Java 6 Update 20是企业部署最广泛的安全更新。但这一版本的Java非常“脆弱”，共有215个安全问题。漏洞评分系统(CVSS)的评分显示是96分。

　　Java 6最后的一次安全更是4月份发布的Java 6 Update 45，同一时间还有Java 7 Update 21的更新，这是Bit9在收集数据时候Java的最新版本。Bit9公司表示，只有3%的企业端点系统运行Java 7 Update 21。此外，有许多企业系统同时在运行着多个Java版本，其中有42%的系统在同一时间安装了两个以上的Java版本，约有20%同一时间安装了三个以上的版本。

　　据Bit9的报告显示，平均而言，在企业中有超过50个不同的Java版本安装在他们的环境中，大约有5%的企业有超过100个Java版本，出现这个问题的主要原因在于，Java在安装或更新过程中对旧版本的处理问题。目前，Java 7的更新程序会尝试删除原有的Java 6，但Bit9首席技术官Harry Sverdlove表示，如果你是全新安装Java 7，那么旧版本就不会被删除，此外，在Java 7的安装或更新过程中不会删除Java 5。

　　Bit9数据显示，93%的企业系统运行的Java版本已经有五年之久，有51%的企业安装的Java版本有5-10之久。在系统上同时安装多个Java版本，会让黑客可以利用旧版本或脆弱的版本侵入计算机，一旦发生攻击，新的Java更新也毫无办法。

　　Harry Sverdlove表示，出现不同的Java版本会增加系统的可用性，因为客户可以运行久的应用程序，但从安全角度来说，这是一场噩梦。在大多数情况下，企业内部环境安装多个版本也并非企业所想，因为企业并不了解、也没有跟踪他们已经安装了多少个版本。

　　“首先，企业应该对现有环境中的Java版本做出评估，下一步就是安全政策问题，认真的去考虑他们是否需要Java”，Harry Sverdlove表示。不同企业所评估出的结果可能不尽相同，有些公司会发现旧的应用程序需要某个特性的Java版本来运行，但仅仅是在某些电脑上需要而已;有些公司会发现某些软件需要最新Java版本的支持;还有企业可能会发现，他们仅仅是在服务器上需要Java，在桌面端并不需要。

　　“无论是否有Java的需求，企业都应该建立一套Java部署和更新的机制，并去执行。如果企业并不需要Java，那么就应该使用相应的工具来阻止Java的安装;如果需要在特定的电脑上安装Java，那么企业应该在除此之外的任何机器上将Java删除。”Harry Sverdlove建议。