博通多项安全投资助力 Spring 和 Java 生态，付费用户享额外福利

博通安全投资惠及 Spring Java 社区

Spring Java 社区以及从博通（Broadcom）Tanzu 购买商业支持的用户都将从中受益，不过付费用户还能享受额外福利。

多项安全投资抵御 AI 威胁

博通今日宣布对其 Spring 和 Java 生态系统进行多项安全投资，旨在帮助用户抵御由人工智能引发的威胁。该公司表示，首先，它将发布 Spring 产品历史上规模最大的一套开源安全更新；对于客户，它会扩展其洁净室构建架构，为整个 Spring 生态系统构建 Java 依赖项。博通 Tanzu 部门副总裁兼总经理普尔尼玛·帕德马纳班（Purnima Padmanabhan）表示：“Spring 是全球应用最广泛的应用开发框架之一，作为其维护者，我们对其安全负有重大责任。由于我们维护着 Spring 并拥有唯一提交权，因此能从源头为所有依赖它的用户提供更可靠的安全保障。这项投资关乎两件我们永远不会分割的事情：Spring 社区的健康发展以及信任 Spring 来运营业务的客户的安全。”

扩大 AI 工具使用

该公司还宣布，随着社区报告的安全公告数量激增，其工程团队已“大幅扩大”对人工智能工具的使用，以帮助识别漏洞、评估修复路径，并验证整个依赖生态系统的修复情况。尽管博通拒绝透露其在漏洞搜索中使用的人工智能模型，但它是 Anthropic 公司的 Project Glasswing 成员，因此克劳德神话（Claude Mythos）很可能参与其中。

仅付费客户专享

Tanzu Spring 企业客户独有的一项福利是，可通过 Spring 企业仓库提前获取经过验证的通用漏洞披露（CVE）补丁版本，这些补丁在开源发布之前就能使用。这些补丁将安全修复与其他更改隔离开来，方便客户更快地进行修复。博通在公告中称：“通过使用 Tanzu Spring 的私有工件仓库，客户可以确信这些工件是来自 Spring 维护者博通的官方、经过验证的补丁。”此外，博通将继续为所有受开源支持的 Spring 项目的各个版本，以及受 Tanzu Spring 企业支持的旧版本发布 CVE。

博通的 Tanzu Spring 企业支持包括：

• 安全 Spring 库的认证来源
• 为当前和旧版企业支持版本提供商业优先补丁发布
• 访问依赖的 Java 二进制文件
• 通过 Spring 应用顾问实现自动化、确定性升级
• 专属的 Tanzu Spring 治理和安全组件
• 7×24 小时支持、专业技术指导以及与 Spring 团队的沟通渠道

此外，博通表示，它还增加了以下内容：

• 为 Java 依赖项提供安全的、符合软件供应链级别认证（SLSA）3 级标准的软件供应链。
• 覆盖由 Spring Boot 物料清单管理的完整传递依赖图。
• 数千个安全依赖项，针对每个受支持的 Spring 版本进行构建和测试。仅 Spring Boot 4.0 就管理着 1768 个依赖项；在整个受支持的产品组合中，经过验证的依赖项构建总数超过 10 万个。

公告指出：“这项功能为客户提供了当前和已停产 Spring 版本的经过验证的依赖项，有助于客户降低软件供应链风险，同时继续受益于 Spring Boot 依赖管理模型的高效性和一致性。”

售卖安全补丁引争议

信息技术研究集团（Info - Tech Research Group）高级研究分析师谢瓦·尤索福维奇（Seva Ioussoufovitch）认为这些举措总体上是积极的。他表示：“看到博通积极应对近几个月来许多组织不得不面对的人工智能检测到的漏洞增加问题，令人鼓舞。像克劳德神话这样的消息表明，行业需要重新思考传统的安全补丁方法。”

尤索福维奇对更新发布的规模并不感到惊讶，他指出这与人工智能扫描和修复的结果相符，而且这种情况可能会持续下去。他说：“更有意义的是提供经过验证和安全的依赖项，这是朝着正确方向迈出的关键一步，特别是在行业近几个月来一直在应对不断增加的供应链漏洞的情况下。”

不过，尤索福维奇对零日补丁仅提供给付费客户这一限制并不满意。他指出：“将安全补丁设置付费门槛并非新鲜事，但对于像 Spring 这样至关重要的生态系统，如果没有直接替代方案，这看起来就像是一种迫使更多开源社区走向商业化的手段。另一种做法可能是向所有人发布 CVE 修复补丁，而对企业级包装、验证和支持收费。但鉴于博通近年来积极的商业化策略，他们的选择并不令人意外。”

关键词：Java 编程语言、软件开发、库和框架、应用安全、安全