Я смотрю на угрозы безопасности для моего приложения Java при выполнении обновлений. Также ищем способы обновления моего приложения. Если требуется срочное обновление, которое будет принудительно наложено на пользователя. Также будут ли проблемы безопасности с этими способами обновления?Угрозы безопасности для обновления приложения для рабочего стола Java
Вы должны быть более конкретными. Какой механизм вы используете для обновления своего приложения?
Способ обновления вашего приложения, например, заменить отдельные файлы классов. В общем, вы должны проверить источник обновления. Возможно, злоумышленник может попытаться подделать обновление (класс-файл), чтобы попасть в хост. Чтобы противостоять этой угрозе, вы должны подписать свои обновления с помощью закрытого ключа и использовать свой открытый ключ, чтобы проверить, действительна ли подпись. (В целом вы должны подписать свои приложения/jar-файлы) (Java Code Signing) Подписание кода также полезно, если злоумышленник пытается обмануть пользователя, чтобы установить какое-то управляемое обновление.
Если вы используете объект-сериализации вы должны быть осведомлены о дополнительных точек (Object (De-)Serialization Vulnerabilities)
Другой вопрос Stackoverflow об обновлении приложений Java: How can I write a Java application that can update itself at runtime?