Java.security.egd = file :/ dev / urandom obsolète pour les applications Spring Boot?

Question

J'avais l'habitude de configurer -Djava.security.egd=file:/dev/./urandom dans mon Dockerfile pour les applications Spring Boot.

Dans https://spring.io/guides/gs/spring-boot-docker/, un commentaire a été ajouté indiquant que cela n'est plus nécessaire pour les versions plus récentes :

Pour réduire le temps de démarrage de Tomcat, nous avons ajouté une propriété système pointant vers "/dev/urandom" comme source d'entropie. Ceci n'est plus nécessaire avec les versions plus récentes de Spring Boot, si vous utilisez la version "standard" de Tomcat (ou tout autre serveur web).

Je recherche des références pour ce changement dans les dépôts de Tomcat ou de Spring Boot, ainsi que les versions de Spring Boot concernées.

Answer 1

Ce problème aurait dû être résolu par la JDK Enhancement Proposal : JEP 123, Génération de nombres aléatoires sécurisée configurable.

Selon le document officiel JDK 8 Security Enhancements d'Oracle, le contournement /dev/./urandom n'est plus nécessaire à partir de JDK 8.

SHA1PRNG et NativePRNG ont été corrigés pour respecter correctement les propriétés de source de graines SecureRandom dans le fichier java.security. (Le contournement obscur utilisant file:///dev/urandom et file:/dev/./urandom n'est plus nécessaire.)