--- title: "Chega de gambiarra: JDK 25 chega como Release Candidate e Python cria padrão contra 'dependências fantasma'" author: "André Iglesias" date: "2025-08-14 12:54:00-03" category: "Tecnologia & Desenvolvimento" url: "http://desbugados.scale.press/portal/desbugados/post/2025/08/14/chega-de-gambiarra-jdk-25-chega-como-release-candidate-e-python-cria-padrao-contra-dependencias-fantasma/md" --- # O Fim da Gambiarra: JDK 25 e Python Trazem Ordem ao Caos do Código Em um futuro não tão distante, onde a inteligência artificial escreve sinfonias e a computação quântica é trivial, a base de tudo ainda será o código. E esse código precisa ser sólido, transparente e, acima de tudo, confiável. Parece que estamos dando os primeiros passos concretos em direção a esse futuro, com dois gigantes da programação, Java e Python, anunciando movimentos que prometem acabar com a era das 'gambiarras'. De um lado, o JDK 25 atinge o estágio de Release Candidate, com lançamento previsto para 16 de setembro, sinalizando uma plataforma mais madura e robusta. Do outro, o ecossistema Python adota o PEP 770, uma nova especificação para criar um inventário completo de software (SBOM), declarando guerra às vulnerabilidades ocultas. Estamos testemunhando o fim do Velho Oeste digital e o início de uma nova era de engenharia de software estruturada. ## JDK 25: A Contagem Regressiva Para o Futuro do Java Para quem acompanha o ecossistema Java, a notícia divulgada pela OpenJDK é um sinal claro de estabilidade no horizonte. O Java Development Kit 25 atingiu seu primeiro Release Candidate (RC1), o que significa que o desenvolvimento de novos recursos está congelado e o foco agora é total na correção de bugs para o lançamento oficial em 16 de setembro de 2025. É como ver a nave espacial na plataforma de lançamento, passando pelos checks finais antes da decolagem. Mas o que essa nova versão traz na bagagem? A lista de JEPs (Java Enhancement Proposals) integradas é extensa e aponta para um futuro com mais segurança, eficiência e facilidade de uso. Entre os destaques, temos: - **JEP 470: PEM Encodings of Cryptographic Objects (Preview):** Uma JEP que facilita o trabalho com objetos criptográficos, algo essencial em um mundo cada vez mais preocupado com a segurança de dados. - **JEP 503: Remove the 32-bit x86 Port:** Uma decisão que olha para frente, abandonando uma arquitetura legada para focar recursos no que realmente importa para os sistemas modernos. É a tecnologia dizendo adeus ao passado sem sentimentalismo. - **JEP 505: Structured Concurrency (5th Preview):** Uma melhoria contínua na forma como o Java lida com tarefas concorrentes, tornando o código mais simples e menos propenso a erros. - **JEP 521: Generational Shenandoah:** Uma evolução no coletor de lixo Shenandoah, projetado para aplicações que exigem pausas curtas e previsíveis, otimizando a performance de forma significativa. Essas atualizações, e muitas outras, mostram que o Java não está apenas se mantendo relevante; está pavimentando ativamente a estrada para aplicações mais complexas e seguras do futuro. ## Python e a Caça às Dependências Fantasma Se o Java está organizando a casa para o futuro, o Python está exorcizando seus fantasmas. De acordo com uma reportagem do The New Stack, o ecossistema está enfrentando um de seus problemas de segurança mais espinhosos: as 'dependências fantasma'. O termo, cunhado pela Endor Labs em 2023, descreve códigos e bibliotecas embutidos em um projeto sem serem declarados em nenhum arquivo de manifesto, tornando-os invisíveis para scanners de vulnerabilidade. Seth Michael Larson, o security-developer-in-residence da Python Software Foundation, explicou em uma palestra na PyCon 2025 que o problema é generalizado. Ele usou a popular biblioteca de imagem, Pillow, como exemplo. Um simples comando para listar suas dependências mostra apenas o próprio pacote. No entanto, uma inspeção mais profunda revela uma longa lista de bibliotecas em outras linguagens, como C, que são essenciais para seu funcionamento. Isso acontece por práticas comuns como 'bundling' (empacotar tudo junto) e 'static linking'. O resultado? Seu projeto pode estar rodando código vulnerável de terceiros, e você nem sabe disso. É o equivalente a ter um estranho morando no seu porão sem o seu conhecimento. ## PEP 770: O 'PreCog' do Código Contra Vulnerabilidades A solução para esse problema parece ter saído diretamente de um filme de ficção científica, algo como os 'PreCogs' de *Minority Report*, que previam crimes antes que acontecessem. A comunidade Python, através do Python Steering Council, aceitou em abril o PEP 770: uma proposta para criar um diretório padrão de SBOM (Software Bill of Materials) para pacotes Python. Um SBOM é, basicamente, uma lista de ingredientes detalhada de um software. A grande virada é que ele é agnóstico em relação à tecnologia. Isso significa que, com o PEP 770, um pacote Python poderá listar não apenas suas dependências em Python, mas também todas as bibliotecas em C, Rust, JavaScript ou qualquer outra linguagem que ele utilize. Essa transparência total é revolucionária. Ferramentas de scanner, como o Syft ou o Gripe recomendado por Larson, agora terão um mapa completo do tesouro, podendo identificar cada componente e cruzar com bancos de dados de vulnerabilidades conhecidas. A 'dependência fantasma' não tem mais onde se esconder. Este novo padrão, que já está sendo integrado a ferramentas como o AuditWheel, permitirá que os desenvolvedores vejam o que realmente está dentro de seus projetos, tomando decisões mais informadas e construindo aplicações fundamentalmente mais seguras. ## Construindo o Amanhã Sobre Alicerces Sólidos A maturidade do JDK 25 e a transparência radical do PEP 770 do Python não são eventos isolados. Eles representam uma mudança de paradigma na indústria de software. Estamos saindo de uma fase de crescimento explosivo e um tanto caótico para uma fase de consolidação, onde a segurança, a estabilidade e a transparência são as novas moedas de valor. Para construir os sistemas de inteligência artificial avançada e as infraestruturas globais do futuro, não podemos mais nos dar ao luxo de ter fantasmas em nossas máquinas ou de construir sobre fundações instáveis. O futuro está sendo compilado agora, e pela primeira vez, parece que estamos realmente lendo e entendendo todo o código-fonte.