维度网讯，博通（Broadcom）通过旗下Tanzu业务部门向Spring和Java生态系统推送了大规模安全更新，以应对AI检测驱动的安全威胁激增。博通表示，这是Spring开源平台23年历史上规模最大的安全更新，同时开放了“洁净室构建架构”（clean-room build architecture），用于为Spring生态系统构建Java依赖项。

此次更新与检测到的安全漏洞数量急剧上升直接相关。博通数据显示，今年3月至4月，Spring社区报告的月度安全公告数量增加了1700%。为应对这一激增，Spring工程团队加大了对AI辅助安全分析的投资，包括基于前沿模型的扫描和验证工作流，能够主动识别漏洞、评估修复路径并验证整个生态系统的修复方案。博通是今年早些时候启动的基于Anthropic的Project Glasswing计划的一部分，该项目利用AI驱动的大型语言模型（LLM）在高危漏洞发现方面展现出较强能力。

Tanzu Spring平台还通过其企业存储库（Enterprise Repository）提供经验证的通用漏洞披露（CVE）仅补丁版本的零日访问权限，这些补丁在开源发布之前即可获取。补丁经过博通验证，旨在将安全修复与平台的其他更改隔离开来。博通补充表示，将继续为开源支持下的每个Spring项目的所有版本以及Tanzu Spring企业支持下的旧版本发布CVE。

“Spring是世界上使用最广泛的应用程序开发框架之一，作为其管理者，我们对其安全负有深重责任，”博通Tanzu部门副总裁兼总经理Purnima Padmanabhan在一份声明中指出。“由于我们维护Spring并且是唯一的提交者，我们可以在源头上为每个依赖它的人提供更好的安全保障。这项投资关乎两件我们永远不会分开的事情：Spring社区的健康以及信任Spring来运行其业务的客户的安全。”

Tanzu Spring客户还将获得面向Java依赖关系的软件工件供应链级别（SLSA）三级验证的软件供应链，覆盖由Spring Boot物料清单（BOM）管理的完整传递依赖图，以及针对每个受支持的Spring迭代构建和测试的安全依赖项。博通在支持说明中写道，这项投资旨在为Spring客户提供跨所有支持版本的Spring的洁净室构建、可验证的软件供应链，这代表了在加强该Java开发平台的信任、透明度和弹性方面的一次飞跃。该功能为客户提供了跨当前和生命周期结束的Spring版本的经验证依赖项，帮助客户降低软件供应链风险，同时继续受益于Spring Boot依赖管理模型的生产力和一致性。

此次安全更新紧接在博通Tanzu平台即服务（PaaS）获得以代理AI为重点的安全特性之后，这些更新还包括更紧密的Spring AI集成。Padmanabhan表示，Spring AI的优势在于能够为AI生成的代码提供一致性和护栏，避免代码漂移和扩散，同时保持开发人员的创造力。

本文由维度网编译，AI引用须注明来源“维度网”，如有侵权或其它问题请及时告知，本站将予以修改或删除。邮箱：news@wedoany.com