Java Management Service: Bezpečnost a licence pod kontrolou

Java dnes pohání desítky miliard aktivních virtuálních strojů a najdete ji v základu téměř každé kritické aplikace. Jenže právě tato všudypřítomnost představuje pro moderní podniky neviditelné riziko. Většina společností dnes bojuje s fenoménem „stínového IT“ – vývojáři instalují různé verze Javy ad-hoc a bezpečnostní týmy pak často netuší, kde přesně se nacházejí neopravené zranitelnosti nebo zastaralá prostředí.

V Solutia vidíme, že řešením není Javu omezovat, ale začít ji efektivně řídit. K tomu slouží Java Management Service (JMS), nativní služba v rámci Oracle Cloud Infrastructure (OCI). Funguje jako centrální mozek, který vám poskytne úplný přehled o vašem Java ekosystému, ať už běží kdekoli.

Pro koho je JMS určen a kde ho využijete?

Tento nástroj ocení zejména organizace spravující desítky až tisíce instancí v hybridním prostředí. JMS není omezen pouze na cloud od Oracle. Dokáže monitorovat Javu běžící:

Přímo v OCI.
On-premises ve vašem vlastním datovém centru.
V cloudech třetích stran (např. AWS nebo Azure).
V kontejnerech Kubernetes a Oracle Kubernetes Engine (OKE).

Základem jsou takzvané „Fleety“ (vozové parky). Ty umožňují seskupit instance podle logických celků – například podle oddělení, kritičnosti aplikací nebo regionů – a aplikovat na ně jednotná pravidla správy.

Klíčové oblasti správy: Finance, bezpečnost a modernizace

1. Optimalizace licenčních nákladů

V lednu 2023 Oracle zásadně změnil licenční model na „Universal Subscription“ založený na celkovém počtu zaměstnanců. Pro mnoho firem to znamenalo nutnost revidovat své dosavadní portfolio. JMS vám dává do ruky přesná data pro audit i vyjednávání. Služba identifikuje, kde běží placené Oracle JDK a kde jsou využívány bezplatné alternativy (např. Azul Zulu). Z toho plyne možnost provést „right-sizing“ licencí a platit pouze za to, co skutečně potřebujete.

2. Bezpečnostní analýza do hloubky

Běžné bezpečnostní skenery často identifikují pouze verzi instalovaného runtimu. JMS jde podstatně hlouběji. Funkce Scan for Java Libraries analyzuje přímo knihovny třetích stran uvnitř vašich aplikací (soubory JAR, WAR). To umožňuje včas zachytit zranitelnosti typu Log4Shell, které se skrývají hluboko v aplikační struktuře.

Podstatná je také Crypto Event Analysis. Světová kryptografie se vyvíjí a Oracle postupně vyřazuje slabé šifry. Například v lednu 2026 končí podpora algoritmu SHA-1 v TLS handshaku pro verze 8, 11, 17 a 21. JMS vás včas upozorní, které z vašich aplikací tyto zastaralé postupy stále využívají. Předejdete tak situaci, kdy aplikace po aktualizaci Javy náhle přestane komunikovat se zbytkem sítě.

3. Efektivní cesta k modernizaci

Plánování přechodu ze starších verzí na moderní Long-Term Support (LTS) verze 17 nebo 21 bývá spojeno s obavami z nekompatibility. Funkce Migration Analysis automaticky prozkoumá váš kód a vygeneruje report o náročnosti migrace. Identifikuje odstraněná API a odhadne časovou náročnost úprav.

Novinka roku 2025: Analýza bez instalace agentů

Významným posunem je funkce Analyze Applications v režimu agentless. V minulosti bylo nutné mít na každém serveru nainstalovaného agenta, což mohlo být u některých systémů problematické. Nově stačí nahrát aplikační balíček (JAR/WAR) přímo do OCI konzole. Systém okamžitě vypracuje analýzu výkonu nebo připravenosti na migraci. Je to vhodné například pro rychlé prověření softwaru od externích dodavatelů, ke kterému nemáte přístup na úrovni operačního systému.

Srovnání verzí: Co získáte v rámci předplatného?

Funkce	Základní (Basic)	Rozšířená (Advanced)
Inventura verzí a výrobců	Ano	Ano
Identifikace neaktuálních verzí	Ano	Ano
Skenování knihoven (CVE)	Ne	Ano
Analýza migrace na nové JDK	Ne	Ano
Crypto Event Analysis	Ne	Ano
Vzdálená správa a instalace	Ne	Ano

Základní verze je dostupná všem uživatelům s OCI účtem. Pokročilé funkce vyžadují Oracle Java SE Universal Subscription nebo provoz v rámci vybraných OCI služeb.

Další kroky pro vaše IT

Prvním krokem k bezpečnému a nákladově efektivnímu prostředí je transparentnost. Doporučujeme začít aktivací základních funkcí JMS pro inventarizaci vašich systémů. Získáte tak jasný přehled o tom, co vám v síti skutečně běží, což je nezbytný podklad pro jakýkoliv audit nebo plánování rozpočtu.

V Solutia pomáháme klientům nejen s technickým nastavením JMS, ale především s interpretací získaných dat a optimalizací licenční strategie.

Zvažujete přechod na novější verzi Javy nebo potřebujete prověřit bezpečnost vašich aplikací? Ozvěte se nám do Solutia. Rádi s vámi probereme, jak JMS nasadit ve vašem konkrétním prostředí.

Často kladené dotazy

Jak se projevuje ukončení podpory Advanced Management Console (AMC) na konci roku 2024?

Pokud ve firmě stále využíváte starší nástroj AMC, od prosince 2024 přicházíte o aktualizace i technickou podporu. B Solutia doporučujeme na JMS přejít co nejdříve, protože tím získáte moderní cloudové prostředí bez nutnosti spravovat vlastní servery WebLogic nebo dedikované databáze. Celý přechod vám rádi zjednodušíme tak, aby vaše správa Javy běžela dál bez přerušení.

Funguje JMS i pro správu Javy od jiných výrobců, jako je Microsoft nebo Amazon?

I když je JMS produktem Oracle, v rámci základních funkcí vám umožní sledovat verze a prodejce Javy napříč celým prostředím. To platí i pro distribuce jako Eclipse Adoptium nebo Amazon Corretto. Získáte tak objektivní podklad pro rozhodování, kde si ponechat placenou podporu a kde můžete bezpečně využívat open-source alternativy.

Musíme restartovat kontejnery nebo měnit jejich obrazy, abychom viděli do Kubernetes?

To je jedna z největších výhod integrace s Oracle Kubernetes Engine (OKE). JMS dokáže identifikovat verze Javy v jednotlivých podech a spouštět diagnostiku v reálném čase bez jakéhokoliv zásahu do běžících služeb. Nemusíte tedy upravovat obrazy kontejnerů ani plánovat odstávky kvůli restartům, což ušetří práci vašim DevOps specialistům.

Co je to post-kvantová kryptografie a proč by nás měla zajímat?

Jde o přípravu na budoucí hrozby spojené s nástupem kvantových počítačů, které by mohly prolomit současné šifrování. V roce 2026 začne JMS monitorovat a vynucovat nové standardy (jako ML-KEM a ML-DSA), což pomůže tyto změny včas podchytit, abyste byli připraveni na nové bezpečnostní požadavky.

Lze přes JMS automatizovat instalaci Javy v rámci našeho CI/CD procesu?

Ano, JMS nabízí veřejná API a skriptovatelné příkazy pro stahování Oracle JDK přímo z důvěryhodného zdroje. Vaše automatizované linky tak mohou vždy pracovat s nejnovější opravenou verzí Javy. Navíc lze vzdáleně definovat i post-instalační kroky, jako je nastavení proxy serverů, což vám zajistí jednotné prostředí v celém podniku.

Jak často se v JMS panelu aktualizují data o zranitelnostech (CVE)?

Služba JMS automaticky identifikuje neopravené systémy a porovnává je s databázemi zranitelností. Kritické patch aktualizace (CPU) vycházejí čtvrtletně. Jakmile se objeví nová hrozba, v JMS konzoli okamžitě uvidíte ucelené skóre rizikovosti pro každou vaši aplikaci. To vám umožní prioritně záplatovat ty systémy, které jsou nejvíce ohrožené.

Ohodnoťte prosím příspěvek. Díky tomu budeme vědět, na jaký obsah se v budoucnu soustředit.