Oracle将Java序列化称为“一个可怕的错误”，计划将其转储

一位匿名读者引用了InfoWorld： Oracle 计划从Java中删除其序列化功能，这在安全性方面一直是一个棘手的问题。也称为Java对象序列化，该功能用于将对象编码为字节流...删除序列化是一个长期目标，是Project Amber的一部分，Project Amber专注于面向生产力的Java语言功能，Mark Reinhold说。 ，Oracle平台组的首席架构师。 要替换当前的序列化技术，只要支持Java版本的数据类记录，就会在平台中放置一个小的序列化框架。该框架可以支持记录图，开发人员可以插入他们选择的序列化引擎，支持JSON或XML等格式，以安全的方式实现记录的序列化。但Reinhold还不能说哪个版本的Java具有记录功能。Reinhold说，序列化是1997年制造的一个“可怕的错误”。他估计至少有三分之一 - 甚至一半的Java漏洞都涉及序列化。Reinhold表示，整体序列化很脆弱，但在简单的使用案例中具有易于使用的吸引力。