Security Baked Into the JVM: why fork Apache River and OpenJDK?

Java 17 deprecated SecurityManager and Java 24 removed it entirely, leaving distributed Java applications without a built-in authorization mechanism. This post introduces two community projects addressing that gap: DirtyChai, a fork of OpenJDK that restores and extends Java's authorization infrastructure (SecurityManager, AccessController, ProtectionDomain), and JGDMS, a security-hardened fork of Apache River providing dynamically-discoverable microservices over IPv6. JGDMS uses Jini-model service discovery, a pluggable constraint-based RPC layer (JERI), and defence-in-depth security including hardened deserialization, TLSv1.3, and proxy trust verification. A minimal deployment example shows how authentication, encryption, and deserialization constraints are declared in deployment configuration rather than service code, enforced at every call boundary without modifying the service API.

Nguồn: https://blog.frankel.ch/security-baked-into-jvm/1. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.

Đề xuất cho bạn

portkey16 phút2 giờ trướcAI

Why Every Agent Vulnerability is a Trust Boundary Failure

Mọi lỗ hổng trong agent AI đều là thất bại trong việc thiết lập ranh giới tin cậy (trust boundary), không phải do mô hình hay công cụ. Bài viết phân tích bốn vector tấn công chính: tiêm prompt qua kết quả công cụ, giả mạo danh tính trong cuộc gọi giữa agent, tấn công "bom ngân sách" từ vòng lặp vô tận, và nhiễm độc công cụ qua sự sai lệch của MCP server. Giải pháp đề xuất là áp dụng các kiểm soát hạ tầng như Portkey's Agent Gateway, MCP Registry, LLM Gateway để ngăn chặn hoặc phát hiện các cuộc tấn công này.

Lập trình viên nên đọc bài này để hiểu cách bảo vệ hệ thống AI agent khỏi các lỗ hổng nghiêm trọng không phụ thuộc vào lỗi của mô hình hay công cụ, mà liên quan đến việc thiết lập và kiểm soát biên giới tin cậy—đặc biệt là khi các agent tự quyết định sử dụng các công cụ và giao tiếp với nhau.