Kotlin官方发布标准库安全支持政策，为每个发布线（如2.4.x）提供18个月安全补丁支持，从.0版本发布日起算。安全修复会向后移植到所有仍在支持窗口内的发布线，并以最新补丁版本形式发布。该政策适用于JVM上的kotlin-stdlib运行时组件，以回应Kotlin在受监管行业（如金融、银行）的采用增长，解决这些组织中缺乏正式支持声明导致的合规与评审难题。

从硬编码密钥事件到静态分析 文章回顾了一次安全审计发现支付模块中硬编码API密钥的教训，促使团队引入SonarQube进行自动化静态分析。通过在Jenkins CI/CD中集成SonarQube，每次提交都自动扫描代码，并配置了严格的质量门：新bug和漏洞必须为零，安全热点需人工复查。文章重点介绍了规则java:S2068如何捕获硬编码凭证，以及处理误报（使用@SuppressWarnings并附理由）和区分安全热点与漏洞的流程。最后总结了七条最佳实践：尽早失败、从小开始、修复根本原因、跟踪趋势、教育团队、集成IDE、保护SonarQube服务器。集成SonarQube使团队从被动安全转向主动质量保障，显著提升了代码安全性和开发文化。

现代软件系统失败的主因并非编码能力，而是团队逐渐偏离业务问题。战术领域驱动设计（DDD）通过将业务语言直接反映到代码中，解决代码失去业务语义的问题。本文以Java和足球冠军赛为场景，系统介绍了战术DDD的核心模式：实体（Player）、值对象（Position）、工厂（PlayerFactory）、聚合根（Team）、仓库（TeamRepository）、领域服务（TransferService）、领域事件（NewSoccerHired）及应用服务（TransferPlayerUserCase）。这些模式帮助开发者在复杂系统中保持代码的语义清晰性，降低耦合，提升可维护性。文章强调战术模式应建立在战略DDD基础上，先理解业务边界和通用语言，再运用模式实现。

本文介绍如何使用Java构建AI代理系统，以处理健康数据分析。内容涵盖Maven依赖配置、领域模型定义、基于Spring Boot的服务层与REST控制器实现，以及使用OpenAI SDK或DJL进行本地推理的两种方式。文章还比较了自定义逻辑、DJL本地模型、LLM API和Spring AI模式四种实现方案的优劣，并提供了完整的开发时间表和API测试示例。重点在于展示如何将智能代理与Spring Boot应用整合，适用于需要结构化工作流或自主决策的医疗健康场景。

在Azul完成对Payara的收购后，Payara社区版正式更名为Azul Payara Community。此次品牌重塑旨在将该开源项目更好地融入Azul生态系统，同时保持其作为Jakarta EE运行时的核心地位。除了品牌名称和Logo的更新外，团队还发布了4月（7.2026.4）和5月（7.2026.5）的最新版本。5月版本包含关键的安全修复，建议所有用户升级。未来，Azul将通过增加资源投入、强化社区互动以及在Foojay平台分享更多技术内容，持续支持开发者社区的发展。

PyCharm 2026.1.2 版本引入了对 Meta 推出的下一代 Python 类型检查器 Pyrefly 的支持。作为一款使用 Rust 编写的高性能工具，Pyrefly 旨在替代原有的 Pyre，通过 LSP（语言服务器协议）集成，为大型 Python 项目提供更快速、更精准的代码智能提示、类型推断及错误诊断功能。用户可通过 IDE 底部的类型组件一键切换至 Pyrefly 引擎。目前该功能已支持本地解释器配置，未来将逐步扩展对 Docker、WSL 及远程开发环境的支持。

JetBrains 在 PyCharm 2026.1.2 中引入了对 Pyrefly LSP 的支持。Pyrefly 是 Meta 开发的下一代 Python 类型检查器，采用 Rust 语言编写，旨在替代原有的 Pyre。通过作为外部类型提供程序集成，Pyrefly 能够显著提升大型 Python 代码库的类型推理、诊断及代码智能功能性能。用户可通过 IDE 底部的类型组件一键切换至 Pyrefly 引擎。该功能目前支持本地解释器配置，未来将扩展对 Docker、WSL 及远程环境的支持。

漏洞概述 近日披露的 Thymeleaf 模板注入漏洞 (CVE-2026-40478) 被评为 CVSS 9.1 分，引起广泛关注。该漏洞源于攻击者利用制表符 (Tab) 绕过 Thymeleaf 沙箱的关键字过滤，进而可能导致远程代码执行 (RCE)。 漏洞成因 该漏洞的核心在于沙箱对表达式解析的限制被绕过，但其前提条件极为关键：只有当开发者在代码中直接将用户输入传递给 Thymeleaf 表达式引擎（而非将其作为数据模型处理）时，该漏洞才可被利用。这种模式通常属于对框架的错误使用。 修复与建议 立即升级：无论是否确认受影响，建议尽快将 Thymeleaf 升级至 3.1.4 或更高版本，或更新 Spring Boot Starter 至最新版本。 代码审查：检查是否存在动态构建模板字符串或根据用户输入解析视图的情况。如果存在此类“误用模式”，应从代码层面进行修复。 防御性编程：确保用户输入始终与模板逻辑分离，严禁将未经过滤的用户输入直接解析为表达式。

IntelliJ IDEA 2026.1.2 版本现已正式发布。此次更新主要针对 IDE 在日常使用中的稳定性和功能表现进行了多项修复。重点改进包括：优化了 Gradle 项目文件的打开方式，修复了 Java 三元表达式的代码格式化问题，解决了 Windows 系统下 Alt+Enter 组合键触发异常菜单的故障，并恢复了 Live Templates 中 Groovy 脚本的正常功能。此外，该版本还修复了代码拖拽消失、外部差异对比工具调用失败以及 MCP 服务器路径解析错误等问题，并显著提升了 IDE 的稳定性，解决了一系列导致软件卡顿的死锁与进程异常。