Contenido esconder
1 Núcleo de la plataforma Azul
2 Presupuesto
3 Instrucciones de uso del producto
4 INTRODUCCIÓN
5 Preguntas frecuentes
6 Documentos / Recursos
6.1 Referencias

Logotipo azul

Núcleo de la plataforma Azul

Producto principal de la plataforma Azul

Presupuesto

  • Nombre del producto: Software Java
  • Fabricante: Oracle
  • Versión: SE
  • Acuerdos de licencia: Términos y condiciones sin costo, Licencia Pública General GNU, Licencia de código binario de Oracle, Oracle Technology Network

Información del producto
El software Java viene con varios programas de acuerdos de licencia proporcionados por Oracle, que ofrecen diferentes niveles de soporte y opciones de licencia.

Instrucciones de uso del producto

  • Vulnerabilidades de seguridad y soporte
    Es fundamental contar con el soporte adecuado para su software Java para evitar vulnerabilidades de seguridad y garantizar el cumplimiento de las normativas. Considere comprarasing soporte de un proveedor JDK autorizado para recibir parches de seguridad, documentación legal y garantía de cumplimiento.
  • Elección y complejidad
    Al elegir una distribución de JDK, tenga en cuenta las políticas de soporte y la compatibilidad con las distintas versiones de Java. Evalúe los diferentes proveedores según las versiones de Java que admiten, las plataformas con las que son compatibles y la duración del soporte para cada versión.
  • Versiones de Java
    Asegúrese de que el proveedor del JDK sea compatible con la versión de Java que utiliza o planea utilizar. Compruebe si existen versiones con soporte a largo plazo (LTS) y si hay actualizaciones disponibles para versiones anteriores.
  • Plataformas compatibles
    Verifique si la distribución del JDK es compatible con los sistemas operativos y procesadores utilizados en su entorno. La compatibilidad con plataformas comunes como Linux y Windows es fundamental.
  • Duración del soporte
    Determine cuánto tiempo el proveedor ofrecerá soporte para una versión específica de Java. Tenga en cuenta la hoja de ruta del ciclo de vida de soporte proporcionada por el distribuidor del JDK.
  • Disponibilidad de actualizaciones
    Compruebe la frecuencia de las actualizaciones publicadas por el proveedor del JDK para garantizar la corrección oportuna de cualquier vulnerabilidad o problema en el software Java.

INTRODUCCIÓN

  • Durante medio siglo, el mundo del código abierto ha permitido a los desarrolladores de software lograr avances significativos en la creación de aplicaciones con un coste mínimo o nulo. Esto ha impulsado una enorme productividad en el desarrollo de software, especialmente en el ámbito comercial. Por ejemplo,ampJava, de código abierto desde 2007, es el lenguaje número uno para el desarrollo en general en la actualidad, con más de 60 mil millones de máquinas virtuales Java activas.
  • Máquinas (JVM) y 38 mil millones de JVM basadas en la nube (Fuente: JavaOne 2022).
  • Sin embargo, durante ese mismo período, las organizaciones de TI han ido comprendiendo poco a poco que esto no implica un “costo operativo cero en la producción”.
  • Fundamentalmente, el coste operativo proviene de tres fuentes: descubrimientos de seguridad y vulnerabilidades, problemas de cumplimiento y preocupaciones sobre propiedad intelectual.
  • Otros costes operativos se manifiestan en forma de actualizaciones de seguridad, como la vulnerabilidad crítica de Log4j que sorprendió a todos en 2021. Corregir vulnerabilidades o actualizar el software subyacente supone, sin duda, un coste, pero las organizaciones siguen sorprendiéndose con demasiada frecuencia por su elevado precio. tag, particularmente cuando necesitan que su proveedor de pila Java publique una versión inmediata para corregir un defecto. En agosto de 2022, por ejemploampSe lanzó una nueva compilación para JDK 8 para eliminar la posibilidad de un fallo del sistema que se había introducido con una actualización de julio (OpenJDK 8u342).
  • Además de los costos de corregir una falla, las organizaciones increasinAfrontan los gastos del cumplimiento normativo. En muchos casos, esto incluye la indemnización, las "puertas blindadas" legales que protegen contra las consecuencias legales de un fallo en el origen. Muchos clientes y socios exigen estas puertas blindadas con mayor frecuencia. Proporcionar la prueba necesaria de que un cliente o socio está protegido contra cualquier problema derivado de la pila Java puede generar costes inesperados (y significativos) que contradicen el concepto de "gratis". Este problema solo aumenta la complejidad y la preocupación cuando esos mismos proveedores en el origen (como Oracle) modifican unilateralmente sus costes de licencia de soporte.
  • Actualmente, Oracle cuenta con cuatro programas de licencia activos para Oracle Java SE: Licencia sin costo (NFTC); Licencia Pública General GNU, versión 2 con la excepción de classpath (GPLv2+CPE); Licencia de Código Binario de Oracle; y licencias de Oracle Technology Network (OTN). A modo de comparación, los clientes de Azul Platform Core suelen pagar un 70 % menos que por Oracle Java SE.

VULNERACIONES DE SEGURIDAD

  • Es un hecho innegable: los errores ocurren. El código fuente de OpenJDK supera los 7 millones de líneas, además de numerosas bibliotecas externas (¡todas susceptibles de contener errores!). Los ingenieros que trabajan en la plataforma Java, tanto en Oracle como en otras compañías, se encuentran entre los mejores desarrolladores del mundo y se someten a algunas de las pruebas más rigurosas, comparables a las de la NASA; aun así, siguen apareciendo errores. Algunos de estos errores son vulnerabilidades de seguridad, y con frecuencia se detectan uno o más de ellos como de alto riesgo o críticos, lo que representa una importante brecha en la infraestructura de TI de una empresa. No son comunes, pero al momento de escribir este artículo, 13 de las 23 versiones de Java publicadas desde que Oracle dejó de ofrecer soporte gratuito han presentado una o más vulnerabilidades de alto riesgo o críticas.
  • Si su aplicación se ejecuta en Java 6, tenga en cuenta que esta versión cuenta con una lista conocida de más de 400 vulnerabilidades, 89 de las cuales son críticas. Estas cifras nunca disminuirán: la última versión gratuita de Java 6 de Oracle se publicó en abril de 2013. ¿Puede su empresa permitirse el lujo de ejecutar su aplicación con más de 400 vectores de ataque conocidos?

En este informe técnico, examinaremos algunos de los costes ocultos de operar Java en un entorno de producción:

  1. Apoyo
  2. Licencias de OpenJDK
  3. Migrar de una versión de JDK a otra
  4. Mantenimiento de Java
  5. Cumplir con las regulaciones

El soporte comercial de pago para Java es como el seguro de coche y los cinturones de seguridad. Y, al igual que el seguro y los cinturones de seguridad, el soporte comercial de pago para Java solo resulta útil cuando ocurre un incidente, que casi siempre es repentino, inesperado y costoso. Aunque resulte tentador, usar Java sin soporte en producción es arriesgado.

¿QUÉ COMPRA?ASING MEDIOS DE APOYO
Al adquirir soporte de un proveedor JDK con licencia, obtiene tres elementos críticos para un software seguro y eficaz:

  1. Parches y actualizaciones de seguridad para evitar que su software exponga los datos de sus clientes.
  2. Documentación legal que esencialmente declara que usted cumple con las exigencias regulatorias del sector,
  3. Garantía de que su software cumple de forma segura y legal con las leyes de propiedad intelectual, sin necesidad de ceder su código fuente.

Costo del soporte

  • Las distintas distribuciones de JDK tienen políticas de soporte muy diferentes.
  • OpenJDK es un proyecto de código abierto. Cualquiera puede descargar el código fuente de una versión específica del Kit de Desarrollo de Java (JDK) y compilar todos los componentes de un JDK para plataformas comunes como Windows en un procesador Intel de 64 bits. Estos ejecutables y bibliotecas se pueden empaquetar y distribuir como una distribución de OpenJDK, y existen muchas distribuciones diferentes disponibles. Puedes elegir entre proveedores, desde gratuitos y sin soporte hasta comerciales que ofrecen soporte completo de Oracle Java SE y más.

CON LA ELECCIÓN VIENE LA COMPLEJIDAD
Debido a la gran cantidad de proveedores de OpenJDK compatibles con el Kit de Compatibilidad Tecnológica (TCK), compararlos puede resultar complejo. Algunas consideraciones a tener en cuenta entre los diferentes proveedores incluyen:

¿QUÉ VERSIONES DE JAVA SON COMPATIBLES?
A marzo de 2025, existen cuatro versiones de Java con soporte a largo plazo (LTS) de un total de más de 20. Es fácil encontrar soporte para la versión LTS más reciente, Java 21, pero cuanto más antiguas sean las versiones, menos proveedores habrá que ofrezcan soporte. Oracle finalizó el soporte gratuito para la versión LTS anterior, Java 17, en octubre de 2024. Solo dos proveedores ofrecen soporte para Java 6 y Java 7.

¿QUÉ PLATAFORMAS SON COMPATIBLES?
La mayoría de los usuarios ejecutan aplicaciones en sistemas operativos convencionales como Linux y Windows, y utilizan procesadores comunes como los de Intel y AMD. Si su entorno incluye plataformas menos comunes, como procesadores basados ​​en ARM, o si aún ejecuta aplicaciones Java en el sistema operativo Solaris, debería saber si la distribución ofrece compilaciones para ellas y si continúa proporcionando correcciones.

Consulta la hoja de ruta del ciclo de vida de soporte de Azul.

¿CUÁNTO TIEMPO SE LE DURARÁ A UNA VERSIÓN?

  • Incluso entre las versiones LTS, las distintas distribuciones pueden ofrecer diferentes periodos de mantenimiento y soporte. Si planea mantener las versiones actuales funcionando durante 10 años antes de modificar el código, asegúrese de contar con soporte LTS para esa versión durante al menos una década. Algunas distribuciones también se comprometen a brindar soporte a una versión después de que finalicen las actualizaciones programadas. Durante esta fase de soporte pasivo, los usuarios aún pueden reportar problemas y, si es necesario, el proveedor de la versión puede ofrecer una actualización especial con la solución.

¿CON QUÉ RÁPIDA ESTÁN DISPONIBLES LAS ACTUALIZACIONES?
Las actualizaciones programadas del JDK se desarrollan a través del proyecto OpenJDK y están sujetas a embargo por el Grupo de Vulnerabilidades de OpenJDK hasta una fecha y hora preestablecidas. Antes de invertir en una distribución de OpenJDK, conviene conocer su historial de disponibilidad de actualizaciones pocas horas después de levantarse el embargo y si ha experimentado retrasos prolongados en el pasado. Pregunte si cuenta con un SLA que especifique cuándo se garantiza la disponibilidad de una actualización. La velocidad de actualización es crucial, ya que, una vez levantado el embargo, se publican detalles sobre las vulnerabilidades de seguridad, lo que da inicio a una carrera contrarreloj. Los ciberdelincuentes comienzan a desarrollar exploits; y si sus actualizaciones no están disponibles durante días o incluso semanas, sus sistemas corren peligro.

¿HAY ACTUALIZACIONES ESTABILIZADAS DISPONIBLES?
Oracle Java SE proporciona dos formatos para cada actualización:

  1. Actualización crítica de parches (CPU): una actualización de seguridad estabilizada
  2. Actualización del conjunto de parches (PSU): actualización completa

Para mantener el máximo nivel de seguridad del JDK, ambos son esenciales. Cuando Oracle publica un parche para una vulnerabilidad conocida, su organización puede implementar rápidamente una actualización de código (CPU) para corregirla. Si solo dispone de una actualización de software (PSU), deberá implementar la actualización completa, lo cual consume mucho tiempo y recursos, además de requerir pruebas de regresión. Solo Oracle y Azul proporcionan actualizaciones de código.

Incluso con la compatibilidad con TCK, algunos usuarios de Java aún se sienten incómodos con cualquier cosa que no sea el soporte de Oracle Java, que es costoso. Los clientes de Azul Platform Core suelen ahorrar un 70 % en comparación con Oracle Java SE. A menudo, los usuarios hacen preguntas como:

  • ¿Perderé alguna funcionalidad si cambio? Esto depende de la versión de Java que estés usando; cuanto más reciente sea, menos probable es que pierdas alguna funcionalidad al cambiar de un JDK a otro, o de una versión de un JDK a una versión posterior.
  • A partir de JDK 11, Oracle JDK solo ha utilizado el código fuente incluido en el repositorio OpenJDK correspondiente. Sin embargo, antes de esa versión, Oracle también incluía varias características no de código abierto que complicaban la gestión de licencias. (Para quienes tengan curiosidad, estas características están casi todas asociadas con aplicaciones de escritorio y tecnologías de implementación; dos de ellas son el complemento de Java para navegadores, necesario para ejecutar applets en un navegador, y Java). Web Start, que ayudó a implementar aplicaciones en el escritorio a través de Web.)
  • ¿Qué riesgo de regresión existe al usar alternativas a Oracle? Si la distribución de OpenJDK que elija se basa en el código fuente de OpenJDK y ha sido probada con TCK, prácticamente no hay riesgo de regresión funcional al cambiar de distribución. Las aplicaciones se comportarán igual que al ejecutarse en una alternativa a Oracle JDK.
  • ¿Necesito actualizar a la última versión del JDK de Java? Todas las distribuciones de OpenJDK ofrecen mantenimiento extendido para las versiones LTS de Java mediante actualizaciones. La duración de estas actualizaciones depende de la distribución. Si usa una versión anterior del JDK que aún recibe mantenimiento, su aplicación seguirá disfrutando del máximo nivel de seguridad y estabilidad en su entorno de ejecución. No es necesario actualizar a la última versión de Java. (Aunque podría ser recomendable para aprovechar las ventajas de las nuevas tecnologías).tag(con las últimas y mejores funciones, pero no es *obligatorio*.)
  • ¿Necesito reescribir o modificar el código de mi aplicación? No es necesario recompilar el código al cambiar de distribución de OpenJDK. Por lo tanto, tampoco es necesario modificar ni reescribir el código de la aplicación siempre que la versión de Java de ambas distribuciones sea la misma.

Costo de la licencia de OpenJDK

Review Lea atentamente su contrato de licencia

  • Para algunos, una suscripción de soporte es como contratar un seguro que los protege contra desastres. Para otros, es un servicio de asesoría que ahorra tiempo a los equipos de desarrollo y de aplicaciones. Y para otros, es protección de la propiedad intelectual y garantía operativa. Independientemente del motivo que prefiera para dar soporte al código Java de su infraestructura de TI, contar con soporte suele marcar la diferencia entre un CTO satisfecho y uno descontento.

Para obtener asistencia completa y tranquilidad, tenga en cuenta algunos aspectos al elegir a su socio de Java:

Azul-Plataforma-Núcleo-fig- (1)Las CPU son esenciales
Las actualizaciones trimestrales o los parches de seguridad aleatorios no son suficientes. Es fundamental implementar las correcciones de seguridad lo antes posible una vez que se publiquen las vulnerabilidades. Las correcciones fuera de ciclo también son esenciales. Además, su proveedor siempre debe poder proporcionar actualizaciones de seguridad (CPU), como se mencionó anteriormente, a diferencia de las versiones PSU de OpenJDK, que no solo incluyen la corrección de un error específico, sino también todo el trabajo realizado durante los 90 días previos al lanzamiento, lo que puede contener nuevas funciones, correcciones de errores no críticos o de seguridad, y (en ocasiones) un conjunto completamente nuevo de errores que mitigar. Recuerde: solo Oracle y Azul proporcionan CPU.

Azul-Plataforma-Núcleo-fig- (2)EXIJA ACUERDOS DE NIVEL DE SERVICIO PARA LAS ACTUALIZACIONES DE SEGURIDAD

  • Las versiones estables deben implementarse rápidamente en su entorno de producción. Su proveedor de OpenJDK debe contar con un historial de éxito que respalde sus afirmaciones de seguridad y estabilidad. En la versión PSU de julio mencionada anteriormente, muchos sistemas críticos que utilizan OpenJDK tuvieron que reducir su rendimiento para minimizar el riesgo. Si su proveedor de Java no ofrece actualizaciones puntuales para corregir errores críticos y vulnerabilidades de seguridad, sus sistemas podrían estar en riesgo durante días, incluso semanas, cada trimestre.

Azul-Plataforma-Núcleo-fig- (3)SU SUSCRIPCIÓN NO DEBERÍA CONLLEVAR RIESGOS ADICIONALES
El binario de su proveedor de OpenJDK debe estar verificado como compatible con la especificación Java SE mediante el TCK con licencia de Oracle. Su socio también debe haber firmado el acuerdo OCTLA para Java 8 y versiones posteriores. Asimismo, su proveedor debe garantizar que las clases y las API de Java no estén contaminadas.

Azul-Plataforma-Núcleo-fig- (4)SU PROVEEDOR DE SOPORTE JAVA DEBE BRINDAR SOPORTE A TODA SU SUPERFICIE JAVA.
Deben poder brindar soporte para su implementación de Java en cualquier entorno, independientemente del sistema operativo o la versión, ya sea localmente, en una máquina virtual o en la nube. Necesitan contar con un conocimiento profundo y consolidado de Java, así como con las habilidades necesarias para cubrir las diversas necesidades de Java de su organización.

Azul-Plataforma-Núcleo-fig- (5)EL SOPORTE DEBE ESTAR SIEMPRE DISPONIBLE CUANDO LO NECESITES 
Deberías poder contactar fácilmente con tu equipo de soporte, incluso los fines de semana y festivos, independientemente de tu zona horaria. Al fin y al cabo, la accesibilidad es la única manera de confiar plenamente en la experiencia, la dedicación y los conocimientos especializados de tu socio Java.

Azul-Plataforma-Núcleo-fig- (5)ENCUENTRA UN PROVEEDOR APASIONADO POR JAVA
Tu proveedor de Java debe estar comprometido con el crecimiento y el éxito de la plataforma en su conjunto. El personal de soporte que no trabaja en el código que conforma la plataforma Java tendrá que escalar cualquier problema que se desvíe del protocolo de soporte. En una crisis, donde cada segundo cuenta, esperar en línea puede ser desastroso.

Calcula el ahorro en licencias al cambiar de Oracle Java SE

  • Azul ha liderado la evolución de la tecnología Java desde 2011, año en que fue elegida por primera vez para el Comité Ejecutivo del Proceso de la Comunidad Java (JCP). Azul también forma parte del Grupo de Expertos para la Solicitud de Especificación de Java (JSR) de todas las versiones de Java desde JDK9. Asimismo, Azul inició y patrocina Foojay.io, una plataforma comunitaria independiente del proveedor, para los seguidores de OpenJDK, que reúne a la comunidad mundial de usuarios de OpenJDK.

Costo de la migración

No es tan malo como te dice Oracle.

  • Cuando las organizaciones consideran migrar de un JDK a otro, siempre se preguntan: "¿Mi aplicación funcionará sin cambios si llevo mi código a un nuevo JDK?" Algunos proveedores de JDK han insinuado que el código que se ejecuta en su implementación puede no ejecutarse correctamente en otra implementación, lo que implica que es mejor pagar sus altas tarifas de licencia que cambiar a una distribución más económica.
  • Qué afortunado es, entonces, que existan medios medibles y definibles para determinar si una implementación es 100% compatible con las especificaciones definidas de la Edición Estándar de Java.
  • Azul tiene un índice de éxito del 100 % en la migración de organizaciones desde otras distribuciones de Java, gracias a su proceso de migración en tres fases. El subdirector de tecnología de Azul, Simon Ritter, es un experto en la materia. Lea «OpenJDK Migration for Dummies».

KIT DE COMPATIBILIDAD TECNOLÓGICA (TCK)

  • El TCK se creó para garantizar la compatibilidad entre las distintas implementaciones de la especificación Java. Es fundamental para la portabilidad de Java, para cumplir la promesa de "escribir una vez, ejecutar en cualquier lugar". El TCK ofrece un alto grado de confianza en que una aplicación que se ejecuta en una distribución probada con TCK se ejecutará de la misma manera en otra distribución que también haya superado el conjunto de pruebas TCK. Decir que los TCK son exhaustivos es quedarse corto: para ser un reemplazo directo de Oracle JDK, un proveedor de OpenJDK debe superar más de 120 000 pruebas. Si el nuevo JDK cuenta con instaladores automatizados y los utiliza, todas las aplicaciones que usan el JDK predeterminado adoptarán automáticamente el nuevo JDK (es decir, sin necesidad de modificar la variable PATH).
  • En la mayoría de los casos, puedes instalar un JDK de reemplazo directo en tan solo cinco minutos. No es necesario modificar el código fuente ni recompilar la aplicación. Los pasos son similares a los de instalar una actualización del JDK de Oracle.

OTRAS CONSIDERACIONES
Tenga en cuenta que, si bien el TCK garantiza la compatibilidad entre implementaciones de Java, no siempre proporciona respuestas claras sobre cuestiones que van más allá de la compatibilidad. Por ejemplo:ampHace una década, las organizaciones empresariales se enfrentaron a un cambio lento pero constante en las herramientas informáticas, en forma de un cambio en el diseño de las CPU de "más rápido" a "más" — específicamente, el auge de las CPU "multinúcleo", lo que llevó a la ahora famosa columna de Herb Sutter sobre el cambio, titulada "Se acabó el almuerzo gratis: un giro fundamental hacia la concurrencia en el software".

  • Un cambio similar se produjo cuando los fabricantes de CPU comenzaron a producir chips de 64 bits en mayores volúmenes, y un cambio similar está ocurriendo incluso ahora a medida que la industria comienza a considerar la serie ARM de CPU por encima de la línea Intel x86/x64.
  • En cada uno de estos casos, una organización de TI debe evaluar las consecuencias de no realizar la migración. Si, por ejemploampCuando una organización de TI se negó a abandonar la plataforma Java de 32 bits, se enfrentó a un límite inherente (e infranqueable) de 2 GB de memoria disponible para el proceso Java. Al considerar la migración de procesadores Intel a ARM, para cualquier parte de la aplicación Java que ejecute código nativo (lo más común en entornos que no utilizan la nube), la organización debe asegurarse de que dicho código esté disponible para los procesadores ARM, lo que probablemente requiera la recompilación de esos recursos nativos.
  • Sin embargo, cabe destacar que cada una de estas consideraciones gira en torno a aspectos que trascienden la propia plataforma Java. El uso del TCK garantiza a las organizaciones que utilizan Java que su código, como mínimo, se ejecutará y comportará de la misma manera en todas las plataformas, independientemente del tamaño, la cantidad o el diseño de su CPU.

TRASCENDENCIA

  • Para las organizaciones que se enfrentan a una migración (voluntaria o forzosa), la presencia del TCK ofrece una excelente noticia, ya que elimina gran parte de la ansiedad y la preocupación. Si la aplicación está escrita completamente en Java, sin ninguna preocupación por el entorno fuera de la JVM (incluyendo, pero no limitándose a, fileSi la organización del sistema), entonces la aplicación está garantizada –por TCK– para ser 100% equivalente en comportamiento en cualquier plataforma compatible con TCK.
  • De forma más realista, dado que la mayoría de las aplicaciones dependen de ciertas características del entorno externo a la plataforma Java (como la organización de la fileEn sistemas, las organizaciones pueden necesitar dedicar algo de tiempo a probar el comportamiento de la aplicación al migrar el contexto circundante, como al cambiar de sistema operativo. Pero dado que TCK garantiza un comportamiento idéntico de una aplicación Java en plataformas compatibles con TCK, las pruebas ahora se realizan en los "límites" de la aplicación, donde interactúa con el entorno. Esto, por definición, supone una reducción del trabajo necesario; en la práctica, es una reducción significativa.

CASOS EXTREMOS
Antes de JDK 11, el JDK de Oracle (y Sun Microsystems) incluía características que no estaban presentes en el proyecto principal de OpenJDK. Tenga en cuenta que las tecnologías antiguas de Oracle han quedado obsoletas en las versiones más recientes de Java.

  • Applets de JavaFX
  • Java Web Comenzar

Azul es uno de los pocos distribuidores de OpenJDK que aún ofrece compilaciones con JavaFX incluido, lo que garantiza la total compatibilidad entre OpenJDK y OpenJFX. Puede encontrarlos como paquete de tipo «JDK FX» en la página de descargas de Azul. Puede descargar las versiones con soporte a largo plazo (LTS) 8, 11, 17 y 21, y la versión con soporte a corto plazo (STS) 23.

  • Consulta cuánto tiempo suelen tardar las migraciones desde Oracle Java SE.

Oracle dejará de dar soporte a JavaFX en JDK 8 en marzo de 2025 y dejará de ofrecer compilaciones de Java 8 con OpenJFX incluido. Esto significa que, a partir de las primeras actualizaciones de seguridad de abril, Oracle JDK 8 ya no estará disponible con JavaFX integrado. Los riesgos son graves.

  • Sus compilaciones de CI/CD fallarán ya que las nuevas versiones de Oracle JDK 8 ya no son compatibles con JavaFX.
  • No se pueden solucionar estos fallos de compilación ya que JavaFX 8 ya no recibe mantenimiento como proyecto de código abierto y no hay descargas independientes disponibles.
  • Si decide seguir utilizando la última versión del paquete Oracle Java 8 con JavaFX, su sistema será vulnerable a CVE, ya que no habrá nuevas versiones con correcciones disponibles. Lo mismo se aplica a las correcciones de errores en Java y JavaFX para esa versión.

Costo de mantenimiento

Actualizaciones trimestrales con CPU

  • Las actualizaciones de PSU han introducido una cantidad preocupante de nuevas regresiones en el JDK, que han requerido una actualización fuera de los límites establecidos. Esto no representa un problema si las aplicaciones afectadas son comunes (como Hadoop Cluster en julio de 2022), pero ¿qué sucede si la única aplicación afectada es la suya? (1) No puede instalar la PSU porque su aplicación dejará de funcionar. (2) Si la actualización corrige una vulnerabilidad crítica, queda expuesto a menos que tenga acceso a la CPU, lo cual no ocurre si utiliza Java gratuito (o cualquier distribución que no sea Oracle o Azul). Dado que su aplicación es la única afectada, no hay garantía de cuándo (o incluso si) este problema se resolverá en OpenJDK. (3) Puede reportarlo como un error, pero no tendrá prioridad. Esto podría provocar un tiempo de inactividad prolongado de su aplicación o una posible filtración de datos o un ataque DoS. Cualquiera de estos tres escenarios conlleva un costo potencialmente ilimitado para su organización: pérdida de ingresos, costo de mitigación, daño a la reputación y pérdida de clientes.
  • El proyecto OpenJDK publica actualizaciones cuatro veces al año: el tercer martes de enero, abril, julio y octubre. Los cambios se aplican directamente a la versión de Java vigente en ese momento, así como a la versión LTS actual. Cualquiera puede descargar el código fuente de OpenJDK y compilar su propio JDK actualizado, que siempre incluirá parches de seguridad, correcciones de errores y mejoras. Sin embargo, compilar un JDK actualizado no es realista para la mayoría de las organizaciones.

Sin soporte comercial para Java, su organización corre graves riesgos:

  • Sin garantías de seguridad ni soporte
  • No existe soporte comercial para Java 6 y 7, pero la mayoría de los proveedores de OpenJDK tampoco lo ofrecen.
  • Sin CPU
  • No se aplicarán correcciones fuera de ciclo para nuevas vulnerabilidades.
  • Falta de experiencia a su disposición

Ni siquiera con Oracle obtendrás soporte comercial de pago para Java 6 o 7.

EL TIEMPO DE LOS INGENIEROS NO ES GRATIS
Si se anuncia una nueva vulnerabilidad o exposición común (CVE) y su organización no recibe CPU, tiene algunas opciones, ninguna de ellas buena:

  • No hagas nada y espera que la vulnerabilidad CVE no sea explotada.
  • Espere a que esté disponible la fuente de alimentación e impleméntela, con la esperanza de que la vulnerabilidad no se explote mientras tanto. Dedique tiempo de ingeniería a aplicar manualmente una solución.
  • Cuando se descubrió la vulnerabilidad Log4Shell en la biblioteca Log4j en diciembre de 2021, las organizaciones se apresuraron a encontrar versiones vulnerables y parchearlas. Sin el parche, debían confiar en que la vulnerabilidad no se explotara o dejar de usar una de las bibliotecas más utilizadas en Java. Un punto débil crítico fue que muchas organizaciones siguieron reintroduciendo inadvertidamente versiones infectadas.
  • Cuando ocurre algo malo, estás pagando a tus ingenieros tanto para que solucionen el problema como para que no realicen su trabajo principal: desarrollar nuevas funciones para tus clientes.

LA RUEDA DEL HÁMSTER DE LAS ACTUALIZACIONES DE JAVA

  • Si disfruta del soporte comercial de Oracle Java y desea seguir usándolo sin pagar, puede hacerlo, pero deberá actualizar su versión de Java continuamente. La versión LTS más reciente es gratuita, pero la versión LTS anterior deja de tener soporte gratuito un año después del lanzamiento de la nueva versión LTS.

Comparación entre Azul Platform Core y las distribuciones gratuitas de OpenJDK

La detección de vulnerabilidades de Azul, una función de Azul Intelligence Cloud, proporciona cuatro beneficios para ayudar a mejorar la eficiencia de DevOps:

  • Utiliza información única de la JVM para eliminar falsos positivos y priorizar la lista de tareas pendientes para centrarse en el código vulnerable en uso.
  • Detecta continuamente qué nuevas vulnerabilidades críticas se han utilizado en producción y dónde, ahorrando tiempo y minimizando las interrupciones causadas por eventos como el descubrimiento de Log4Shell.
  • Identifica el código que se ejecuta en producción para que DevOps pueda identificar y eliminar fácilmente el código que no se ejecuta, reduciendo así la carga de mantener y actualizar el código no utilizado.
  • Conserva el historial de uso del código, lo que permite realizar análisis forenses específicos para determinar si se explotó código vulnerable antes de que se supiera que era vulnerable.

Garantizar el cumplimiento de las normativas

Las infracciones pueden acarrear multas y daños a la reputación.

  • Tal vez todas esas vulnerabilidades no generen preocupación sobre la salud y la seguridad de su aplicación. Sus clientes podrían tener una opinión diferente, especialmente en sectores sensibles como la sanidad, las finanzas, la administración pública, la hostelería, el comercio minorista y el transporte. Muchos sectores exigen a sus socios, proveedores y prestadores de servicios que documenten activamente su cumplimiento con normativas estrictas. Un mensaje en el blog de su empresa que diga «CVE-123456 no debería ser una amenaza para nosotros» no tranquiliza a los líderes empresariales, y usted debe demostrar públicamente que su empresa está tomando todas las medidas razonables para garantizar que los atacantes no puedan explotar las vulnerabilidades de su código. Una breve lista de normativas a tener en cuenta incluye:

AMÉRICA DEL NORTE
Las directivas de la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) trabajan para proteger sectores de infraestructura crítica, incluidas las instituciones financieras, de las ciberamenazas.

Azul-Plataforma-Núcleo-fig- (6)

  • Sanciones: Sanciones civiles como multas y cargos penales

La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA, por sus siglas en inglés) protege la privacidad de la información de salud de los pacientes.

  • Sanciones: Multas de hasta 50,000 dólares y penas de prisión de hasta un año.

EUROPA
Cyber ​​Essentials está diseñado para asegurar a los clientes que usted está trabajando para proteger sus sistemas informáticos contra los ciberataques.

Azul-Plataforma-Núcleo-fig- (7)

Sanciones: multas, acciones legales y sanciones regulatorias

El Reglamento General de Protección de Datos (RGPD) es una ley de la UE sobre protección de la privacidad y seguridad de los consumidores.

  • Sanciones: Multas de hasta 20 millones de euros para particulares y de hasta el 4% de la facturación global para empresas, además de sanciones penales.

La Ley de Resiliencia Operacional Digital (DORA) fortalece la resiliencia del sector financiero frente a los riesgos operacionales digitales.

  • Sanciones: Sanciones de hasta 1 millón de euros para particulares y multas de hasta el 2% de la facturación anual, repercusiones administrativas, revocación de la licencia y daño a la reputación para las empresas.

ASIA
La Autoridad Monetaria de Singapur (MAS) proporciona directrices para el sector financiero que se centran en la gobernanza de TI, la ciberresiliencia y la continuidad operativa.

Azul-Plataforma-Núcleo-fig- (8)

  • Sanciones: multas, sanciones civiles y condenas penales

Essential Eight proporciona la orientación específica para asegurar la tecnología.

  • Sanciones: Se requiere certificación para licitar contratos del gobierno central que impliquen el manejo de PPI.

CUESTIONES DE PROPIEDAD INTELECTUAL

  • Más allá de las amenazas y ataques activos a su software, existe una amenaza mucho más sutil, igualmente perjudicial para la rentabilidad de su empresa. Las leyes de propiedad intelectual (PI) han experimentado un cambio radical en el último medio siglo, a medida que el software de código abierto se ha consolidado como una fuerza dominante en el desarrollo de software. Si hace 50 años el software libre y de código abierto tenía un papel secundario, a menudo relegado a un segundo plano en las grandes empresas, en 2025 se convierte en un elemento central de prácticamente cualquier proyecto, especialmente si se utiliza Java.
  • Supongamos que utiliza una biblioteca con Licencia Pública General de GNU (GPL) para desarrollar una herramienta que forma parte de su proceso de compilación. ¿Debe su software declararse también GPL? ¿Qué ocurre si utiliza un lenguaje que emplea bibliotecas escritas bajo la GPL? ¿Debe su software estar disponible para su descarga gratuita para cualquier persona interesada? Si recibe una carta de cese y desistimiento en la correspondencia de su empresa, exigiéndole el cumplimiento de los requisitos legales de la GPL, ¿puede cumplirla sin que su empresa quiebre? ¿O puede demostrar que su software no infringe la propiedad intelectual? Antes de responder, debe saber que (1) el propio JDK se basa en varios componentes GPL, y (2) la GPL tiene requisitos muy específicos, entre ellos que todo lo que tenga licencia GPL debe mantenerla y, por lo tanto, estar disponible gratuitamente para quien desee descargarlo.
  • Para mitigar las amenazas de problemas de propiedad intelectual, necesita un proveedor de Java que proporcione acceso a compilaciones específicas de OpenJDK que hayan pasado por una certificación y verificación formales para garantizar que incluirlas, incorporarlas o distribuirlas en sus productos no contamine la propiedad intelectual o el código de sus productos con requisitos de licencia (incluidos, entre otros, los requisitos de divulgación del código fuente de GPLv2).

Consulte las regulaciones verticales de cumplimiento normativo.

Conclusión

  • Las versiones 6 y 7 de JDK, así como las primeras versiones de la 8, son de uso gratuito. Oracle aún ofrece soporte comercial para JDK 8, pero ya no ofrece soporte para JDK 6 y 7, lo que las hace vulnerables a riesgos de seguridad. Se han encontrado vulnerabilidades y exposiciones comunes (CVE) de forma continua en Java 6, cuyo soporte finalizó en diciembre de 2018, y en Java 7, cuyo soporte finalizó en julio de 2022. Con el soporte comercial, los suscriptores reciben parches de seguridad que protegen estas versiones antiguas de Java, así como actualizaciones críticas de parches (CPU) para las versiones actuales de Java, lo que les permite cumplir mejor con los requisitos de conformidad.
  • El soporte comercial funciona como un seguro contra actualizaciones inestables (como la actualización Crowdstrike que paralizó negocios en todo el mundo en julio de 2024). En caso de una regresión en una actualización completa del JDK, los clientes de Azul están protegidos, siempre que hayan instalado la versión CPU, que presenta muchos menos cambios. (Históricamente, las versiones CPU de Azul no se han visto afectadas por las regresiones periódicas que ocurren en las actualizaciones trimestrales completas). Si un cliente se ve afectado por haber instalado actualizaciones completas, puede cambiar inmediatamente a las versiones CPU.
  • Además de las CPU, Azul (y algunos otros proveedores de soporte comercial) ofrece SLA para actualizaciones de seguridad y proporcionará correcciones críticas fuera de ciclo si es necesario.
  • Cuando las aplicaciones empresariales críticas se ejecutan en Java, el soporte comercial se vuelve esencial. Más allá de las correcciones de seguridad y de errores críticos oportunas, el acceso a servicios de ingeniería expertos distribuidos globalmente es crucial para el análisis de la causa raíz y la resolución de problemas relacionados con el Kit de Desarrollo de Java (JDK), el Entorno de Ejecución de Java (JRE) o la Máquina Virtual de Java (JVM).
  • El soporte comercial combina seguro y mantenimiento en una sola suscripción y, en el caso de Azul, también ofrece protección de la propiedad intelectual. Azul certifica sus JDK contra la contaminación por copyleft e indemniza a sus clientes frente a reclamaciones por patentes y derechos de autor.
  • Garantizar la seguridad y la estabilidad de sus aplicaciones Java es fundamental para las empresas que dependen de Java. Con el soporte comercial de Azul, puede proteger su inversión, cumplir con las normativas y mitigar riesgos, beneficiándose además de servicios de ingeniería especializados y una completa protección de la propiedad intelectual. En resumen, ese es el beneficio del soporte comercial de Azul.

SOBRE AZUL

  • Azul ha estado ofreciendo compilaciones gratuitas de Zulu de OpenJDK a la comunidad Java desde 2014. La oferta comercial Azul Platform Core se utiliza hoy en día en decenas de millones de servidores y dispositivos, incluyendo el 36% de las empresas Fortune 100, el 50% de las 10 marcas más valiosas del mundo según Forbes y las 10 principales empresas de comercio financiero del mundo.
  • La oferta de soporte de clase mundial de Azul proporciona estrictos compromisos de SLA para actualizaciones de seguridad y correcciones de errores oportunas, así como soporte para tecnologías clave como Flight Recorder y Mission Control para Java 8 y 11. Y Azul es el único proveedor que ofrece soporte para Java 6/7, así como protección integral de la propiedad intelectual e indemnización.
  • Para obtener información adicional sobre las compilaciones de OpenJDK de Zulu y las ofertas de soporte comercial, póngase en contacto hoy mismo con un especialista de Azul OpenJDK.

Contacta con Azul
385 Moffett Park Drive, Suite 115 Sunnyvale, CA

  • 94089 EE. UU. +1.650.230.6500
  • www.azul.com
  • Copyright © 2025 Azul Systems, Inc.

Preguntas frecuentes

P: ¿Cuáles son los costes ocultos de ejecutar Java sin soporte?

A: Los costos ocultos incluyen vulnerabilidades de seguridad, problemas de cumplimiento, dificultades de mantenimiento, posibles riesgos legales y falta de soporte para versiones antiguas de Java.

P: ¿Cómo puedo asegurarme de que mi software Java sea seguro y cumpla con las normativas?

A: Adquiera soporte de un proveedor de JDK con licencia para recibir parches de seguridad, documentación legal y garantía de cumplimiento con las regulaciones de la industria.

Documentos / Recursos

Núcleo de la plataforma Azul [pdf] Instrucciones
Sin título, azul-5-costos-ocultos-de-java-no-compatible.pdf, 5 Costos Ocultos de Java No Compatible, Costos Ocultos de Java No Compatible, de Java No Compatible, Java No Compatible, Java

Referencias

Deja un comentario

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados *