博通安全投资惠及 Spring Java 社区Spring Java 社区以及从博通BroadcomTanzu 购买商业支持的用户都将从中受益不过付费用户还能享受额外福利。多项安全投资抵御 AI 威胁博通今日宣布对其 Spring 和 Java 生态系统进行多项安全投资旨在帮助用户抵御由人工智能引发的威胁。该公司表示首先它将发布 Spring 产品历史上规模最大的一套开源安全更新对于客户它会扩展其洁净室构建架构为整个 Spring 生态系统构建 Java 依赖项。博通 Tanzu 部门副总裁兼总经理普尔尼玛·帕德马纳班Purnima Padmanabhan表示“Spring 是全球应用最广泛的应用开发框架之一作为其维护者我们对其安全负有重大责任。由于我们维护着 Spring 并拥有唯一提交权因此能从源头为所有依赖它的用户提供更可靠的安全保障。这项投资关乎两件我们永远不会分割的事情Spring 社区的健康发展以及信任 Spring 来运营业务的客户的安全。”扩大 AI 工具使用该公司还宣布随着社区报告的安全公告数量激增其工程团队已“大幅扩大”对人工智能工具的使用以帮助识别漏洞、评估修复路径并验证整个依赖生态系统的修复情况。尽管博通拒绝透露其在漏洞搜索中使用的人工智能模型但它是 Anthropic 公司的 Project Glasswing 成员因此克劳德神话Claude Mythos很可能参与其中。仅付费客户专享Tanzu Spring 企业客户独有的一项福利是可通过 Spring 企业仓库提前获取经过验证的通用漏洞披露CVE补丁版本这些补丁在开源发布之前就能使用。这些补丁将安全修复与其他更改隔离开来方便客户更快地进行修复。博通在公告中称“通过使用 Tanzu Spring 的私有工件仓库客户可以确信这些工件是来自 Spring 维护者博通的官方、经过验证的补丁。”此外博通将继续为所有受开源支持的 Spring 项目的各个版本以及受 Tanzu Spring 企业支持的旧版本发布 CVE。博通的 Tanzu Spring 企业支持包括安全 Spring 库的认证来源为当前和旧版企业支持版本提供商业优先补丁发布访问依赖的 Java 二进制文件通过 Spring 应用顾问实现自动化、确定性升级专属的 Tanzu Spring 治理和安全组件7×24 小时支持、专业技术指导以及与 Spring 团队的沟通渠道此外博通表示它还增加了以下内容为 Java 依赖项提供安全的、符合软件供应链级别认证SLSA3 级标准的软件供应链。覆盖由 Spring Boot 物料清单管理的完整传递依赖图。数千个安全依赖项针对每个受支持的 Spring 版本进行构建和测试。仅 Spring Boot 4.0 就管理着 1768 个依赖项在整个受支持的产品组合中经过验证的依赖项构建总数超过 10 万个。公告指出“这项功能为客户提供了当前和已停产 Spring 版本的经过验证的依赖项有助于客户降低软件供应链风险同时继续受益于 Spring Boot 依赖管理模型的高效性和一致性。”售卖安全补丁引争议信息技术研究集团Info - Tech Research Group高级研究分析师谢瓦·尤索福维奇Seva Ioussoufovitch认为这些举措总体上是积极的。他表示“看到博通积极应对近几个月来许多组织不得不面对的人工智能检测到的漏洞增加问题令人鼓舞。像克劳德神话这样的消息表明行业需要重新思考传统的安全补丁方法。”尤索福维奇对更新发布的规模并不感到惊讶他指出这与人工智能扫描和修复的结果相符而且这种情况可能会持续下去。他说“更有意义的是提供经过验证和安全的依赖项这是朝着正确方向迈出的关键一步特别是在行业近几个月来一直在应对不断增加的供应链漏洞的情况下。”不过尤索福维奇对零日补丁仅提供给付费客户这一限制并不满意。他指出“将安全补丁设置付费门槛并非新鲜事但对于像 Spring 这样至关重要的生态系统如果没有直接替代方案这看起来就像是一种迫使更多开源社区走向商业化的手段。另一种做法可能是向所有人发布 CVE 修复补丁而对企业级包装、验证和支持收费。但鉴于博通近年来积极的商业化策略他们的选择并不令人意外。”关键词Java 编程语言、软件开发、库和框架、应用安全、安全