<div dir="ltr">Hi all,<div><br></div><div>Due to its lineage as integral part of OpenJDK – and thus an attractive vector of attack – Nashorn has a lot of code dealing with proper operation under a security manager. Most of that code is not particularly relevant now that it is not part of OpenJDK, and even less since the Security Manager was deprecated in Java 17 with JEP 411[0] and slated to be permanently disabled in Java 24 with JEP 486[1], with the removal of the API sometime in the future.</div><div><br></div><div>The time has come to also remove Security Manager support from Nashorn. As JEP 486 states, deprecating the Security Manager had hardly any impact, proving that almost nobody uses it: </div><div><br></div><div>"Since the release of JDK 17, the maintainers of some of the handful of frameworks and tools that supported the Security Manager have removed support for it; these include Derby, Ant, SpotBugs, and Tomcat. The maintainers of Jakarta EE removed the requirement for EE applications to support the Security Manager. We are not aware of any new projects that support the Security Manager."</div><div><br></div><div>I guess if even Tomcat can live without the Security Manager, then so can Nashorn.</div><div><br></div><div>Attila.</div><div><br></div><div>--</div><div>[0] <a href="https://openjdk.org/jeps/411">https://openjdk.org/jeps/411</a></div><div>[1] <a href="https://openjdk.org/jeps/486">https://openjdk.org/jeps/486</a> </div></div>