<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=windows-1250">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<!--[if !mso]><style>v\:* {behavior:url(#default#VML);}

o\:* {behavior:url(#default#VML);}

w\:* {behavior:url(#default#VML);}

.shape {behavior:url(#default#VML);}

</style><![endif]--><style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Aptos;

        panose-1:2 11 0 4 2 2 2 2 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0cm;

        font-size:12.0pt;

        font-family:"Aptos",sans-serif;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

p.xmsonormal, li.xmsonormal, div.xmsonormal

        {mso-style-name:x_msonormal;

        margin:0cm;

        font-size:11.0pt;

        font-family:"Aptos",sans-serif;}

span.EmailStyle21

        {mso-style-type:personal-reply;

        font-family:"Aptos",sans-serif;

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;

        mso-ligatures:none;}

@page WordSection1

        {size:612.0pt 792.0pt;

        margin:72.0pt 72.0pt 72.0pt 72.0pt;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="en-HR" link="blue" vlink="purple" style="word-wrap:break-word">

<div class="WordSection1">

<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;mso-fareast-language:EN-US">Thank you for clarification.<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;mso-fareast-language:EN-US">Maybe I should clarify my original mail as well:<br>

I’m not asking for any specific jdk vendor version support or any jdk version support change at all for that matter.<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;mso-fareast-language:EN-US">I’m asking for a right place to ask where it was decided that versions are 6 months apart and that each non LTS version will only have supported up until the next one

 is out.<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;mso-fareast-language:EN-US">My observation is that current process and state of things put people into an uncomfortable position where they either have to accept to be on unsupported version of

 non lts for some time and risk security vulnerabilites and all the stress that comes with that or if they don’t want to deal with that – they must pick LTS versions.<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;mso-fareast-language:EN-US">This state of affairs is unfortunate and makes non LTS version seem as if non LTS versions are “for development” only and not ready for production use.<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;mso-fareast-language:EN-US">They are only ok for production use if you control all the software you’re running on and you have guarantees that on day 1 of next non LTS release you can upgrade all

 in one go – which in my experience is never true.<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;mso-fareast-language:EN-US">Hope this clarifies things a bit.<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;mso-fareast-language:EN-US">Thank you,<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<P style="FONT-SIZE: 10pt; FONT-FAMILY: ARIAL; COLOR: #373a3b"> </P>

<P 

style="FONT-SIZE: 10pt; MARGIN-BOTTOM: 5px; FONT-FAMILY: ARIAL; COLOR: #373a3b; MARGIN-LEFT: 10px">

<TABLE style="WIDTH: 865px; COLOR: #373a3b" cellSpacing=0 cellPadding=0 

border=0>

  <TBODY style="COLOR: #373a3b">

  <TR style="COLOR: #373a3b">

    <TD 

    style="FONT-SIZE: 10pt; FONT-FAMILY: Arial; WIDTH: 65px; COLOR: #373a3b; PADDING-LEFT: 0px; PADDING-RIGHT: 20px" 

    vAlign=bottom><IMG style="HEIGHT: 60px; WIDTH: 65px" border=0 

      src="cid:Infobip_logo_vertical_signature_e28e13d2-255b-4571-a70c-8292f2d75c0b.png" width=65 

      height=60></TD>

    <TD 

    style="FONT-SIZE: 10pt; FONT-FAMILY: Arial; WIDTH: 800px; COLOR: #373a3b" 

    vAlign=bottom>

      <TABLE style="COLOR: #373a3b" cellSpacing=0 cellPadding=0 border=0>

        <TBODY style="COLOR: #373a3b">

        <TR style="COLOR: #373a3b">

          <TD 

          style="FONT-SIZE: 10pt; FONT-FAMILY: Arial; WHITE-SPACE: nowrap; COLOR: #373a3b; PADDING-LEFT: 11px; PADDING-RIGHT: 19px" 

          vAlign=bottom align=left>

            <P 

            style="FONT-SIZE: 10pt; FONT-FAMILY: Arial; COLOR: #373a3b; MARGIN: 0px 0px 2px"><STRONG 

            style="COLOR: #373a3b">Lovro Pand&#x17E;i&#x107;</STRONG><BR></P>

            <P 

            style="FONT-SIZE: 10pt; MARGIN-BOTTOM: 2px; FONT-FAMILY: Arial; MARGIN-TOP: 0px"><SPAN 

            style="FONT-SIZE: 8.4pt">Senior Principal Engineer</SPAN></P></TD>

          <TD 

          style="FONT-SIZE: 8.4pt; FONT-FAMILY: Arial; WHITE-SPACE: nowrap; COLOR: #373a3b; PADDING-LEFT: 20px; BORDER-LEFT: black 1px solid; PADDING-RIGHT: 20px" 

          vAlign=bottom>

            <P 

            style="FONT-SIZE: 8.4pt; MARGIN-BOTTOM: 5px; FONT-FAMILY: Arial; MARGIN-TOP: 0px"><STRONG 

            style="COLOR: #373a3b">E </STRONG><SPAN 

            style="FONT-SIZE: 8.4pt">Lovro.Pandzic@infobip.com</SPAN><BR></P>

            <P 

            style="FONT-SIZE: 8.4pt; MARGIN-BOTTOM: 2px; FONT-FAMILY: Arial; MARGIN-TOP: 0px"><STRONG 

            style="COLOR: #373a3b">M</STRONG> <SPAN 

            style="FONT-SIZE: 8.4pt">+385921001403</SPAN></P></TD>

          <TD 

          style="FONT-SIZE: 8.4pt; FONT-FAMILY: Arial; WHITE-SPACE: nowrap; COLOR: #373a3b; PADDING-LEFT: 20px; BORDER-LEFT: black 1px solid; PADDING-RIGHT: 20px" 

          vAlign=bottom>

            <P 

            style="FONT-SIZE: 8.4pt; MARGIN-BOTTOM: 5px; FONT-FAMILY: Arial; MARGIN-TOP: 0px"><STRONG 

            style="COLOR: #373a3b">A </STRONG><SPAN 

            style="FONT-SIZE: 8.4pt">Utinjska 29A, 10000 

            Zagreb, Croatia<BR></SPAN></P>

            <P 

            style="FONT-SIZE: 8.4pt; MARGIN-BOTTOM: 2px; FONT-FAMILY: Arial; MARGIN-TOP: 0px"><A 

            style="TEXT-DECORATION: none; COLOR: #373a3b" 

            href="http://www.infobip.com">www.infobip.com<SPAN 

            style="FONT-SIZE: 9pt"></SPAN></A></P></TD></TR></TBODY></TABLE></TD></TR></TBODY></TABLE></P>

<P 

style="FONT-SIZE: 10pt; MARGIN-BOTTOM: 5pt; FONT-FAMILY: Arial; MARGIN-TOP: 0px; COLOR: #373a3b"> </P>

<P 

style="FONT-SIZE: 10pt; MARGIN-BOTTOM: 5pt; FONT-FAMILY: Arial; MARGIN-TOP: 0px; COLOR: #373a3b"> </P><div id="mail-editor-reference-message-container">

<div>

<div>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">

<p class="MsoNormal" style="margin-bottom:12.0pt"><b><span style="color:black">From:

</span></b><span style="color:black">Chen Liang <chen.l.liang@oracle.com><br>

<b>Date: </b>Monday, 26 August 2024 at 17:25<br>

<b>To: </b>Lovro Pandžiæ <Lovro.Pandzic@infobip.com>, jdk-dev@openjdk.org <jdk-dev@openjdk.org><br>

<b>Subject: </b>[EXTERNAL] Re: Vulnerability of the non LTS JDK releases<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="color:black">Hello Lovro,<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="color:black">To clarify Alan's remarks, there's a dedicated jdk-updates-dev list and a jdk-updates project responsible for any released jdk; for example, if 23 is released, the subsequent releases of 23.0.1 and 23.0.2, etc.

 are their responsibility. A request for backporting critical security fixes to 1 release before the latest should be raised to the jdk-updates project., which is usually constituted of "the companies and organizations that make supported JDK releases available."<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="color:black"><o:p> </o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="color:black">For the frequency of security fixes: there's a

<a href="https://openjdk.org/groups/vulnerability/">https://openjdk.org/groups/vulnerability/</a> vulnerabiltiy group that releases security fixes every quarter (see

<a href="https://mail.openjdk.org/pipermail/vuln-announce/">https://mail.openjdk.org/pipermail/vuln-announce/</a>), usually in Jan, Apr, Jul, and Oct. Do you wish for Apr and Oct vulnerability fixes to be incorporated into the last release before the latest

 (released just one month prior)? You can raise this request to the jdk-updates-dev list there.<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="color:black"><o:p> </o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="color:black">I have heard that even backporting even security fixes would be a heavy maintenance cost; so, the updates group might reject your request of 1 year of security fixes, as new releases roll out every half a year.

 But a security fix for the one version before the latest released version release makes sense to me, especially that the new version is just released for one month. Ultimately, it is up to jdk-update project's discretion, so go ask them.<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="color:black"><o:p> </o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="color:black">Regards,<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="color:black">Chen Liang<o:p></o:p></span></p>

</div>

<div class="MsoNormal" align="center" style="text-align:center">

<hr size="0" width="100%" align="center">

</div>

<div id="divRplyFwdMsg">

<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black"> jdk-dev <jdk-dev-retn@openjdk.org> on behalf of Alan Bateman <alan.bateman@oracle.com><br>

<b>Sent:</b> Monday, August 26, 2024 2:23 AM<br>

<b>To:</b> Lovro Pandžiæ <Lovro.Pandzic@infobip.com>; jdk-dev@openjdk.org <jdk-dev@openjdk.org><br>

<b>Subject:</b> Re: Vulnerability of the non LTS JDK releases</span> <o:p></o:p></p>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

<div>

<p class="MsoNormal">On 26/08/2024 06:38, Lovro Pandžiæ wrote:<br>

<br>

<o:p></o:p></p>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<p class="xmsonormal"><span lang="EN-US">Hello all,</span><o:p></o:p></p>

<p class="xmsonormal"><span lang="EN-US"> </span><o:p></o:p></p>

<p class="xmsonormal"><span lang="EN-US">Not sure if this is the right address to talk about this issue so feel free to redirect me to another if it’s more appropriate.</span><o:p></o:p></p>

</div>

</blockquote>

<p class="MsoNormal"><br>

Your question isn't unreasonable but it's not really a question for the OpenJDK project, instead it's a question for the companies and organizations that make supported JDK releases available.<br>

<br>

<br>

<br>

<o:p></o:p></p>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<p class="xmsonormal"><span lang="EN-US"> </span><o:p></o:p></p>

<p class="xmsonormal"><span lang="EN-US">:</span><o:p></o:p></p>

<p class="xmsonormal"><span lang="EN-US"> </span><o:p></o:p></p>

<p class="xmsonormal"><span lang="EN-US">Projects that want to follow the train in it’s tracks and be on latest, usually non lts, version and that use any non trivial kind of dependency (Spring, Sonar, …) they must accept the fact that there will be periods

 of time (usually a month or two) where they’ll be forced to stay on an unsupported non LTS version until all of their dependencies add support for latest JDK version so they can upgrade as well.</span><o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</blockquote>

<p class="MsoNormal">Just a reminder that there Early Access (EA) builds published weekly so these projects don't need to wait until the GA to test. Ongoing testing with EA builds help find issues earlier and allows these projects to align their releases with

 the JDK releases.<br>

<br>

-Alan<o:p></o:p></p>

</div>

</div>

</div>

</div>

</div>

</body>

</html>