Spring 生态本周动态 本期周报汇总了 Spring 生态系统的最新进展与资源更新： 核心组件更新 Spring AI 发布了 1.0.6、1.1.5 及 2.0.0 M5 版本。 Spring Boot 更新频繁，包括 3.5.14、4.0.6 正式版及 4.1.0 RC1 版本。 其他重要更新涵盖 Spring Shell 4.0.2、Spring Modulith 2.1 RC1 系列、Spring Integration 7.1.0-RC1 以及 Spring Vault 等组件。 Spring Security 发布了包含 CVE 安全漏洞修复的更新版本，建议开发者及时升级。 技术实践与资源 深度探讨了 Java 与 Spring AI 在 Netflix 生产环境中的应用。 Craig Walls 分享了关于 Spring AI 中智能体间通信（A2A）及智能体规划的实践指南。 介绍了 Toshiaki Maki 开发的 Maven 插件，用于在 Java 代码中强制执行 JSpecify 空安全限制。 播客 A Bootiful Podcast 邀请嘉宾讨论了 Kotlin 在智能应用开发中的应用。

2025年度回顾概览 JetBrains 发布了其 2025 年度回顾报告，总结了过去一年在软件开发领域的持续演进。面对快速变化的行业环境，特别是人工智能技术的兴起，JetBrains 致力于提供能够提升开发者工作效率和信心的工具与体验。 核心成就 AI 驱动开发：在人工智能辅助编程方面取得了显著进展，以适应现代开发者的需求。 企业增长：在企业级应用领域持续扩张，助力各类组织更高效地构建、交付和维护软件。 生态建设：在产品迭代、业务拓展及社区支持方面均实现了重要里程碑，展现了强劲的发展势头。

本文介绍了如何利用 Docker Desktop 中的 Docker Init 工具快速为 Java 26 项目生成生产级的 Docker 配置。Docker Init 是一款交互式向导，能够自动生成 Dockerfile、compose.yaml 和 .dockerignore 等文件，并采用多阶段构建、非 root 用户运行等最佳实践。文章通过一个 Spring Boot 项目示例，演示了从初始化配置到处理 Java 26 基础镜像兼容性（如使用 SAP Machine 替代 Eclipse Temurin），以及最终构建与运行的完整流程，旨在帮助开发者在短时间内完成高效的容器化部署。

本文是探索 Spring AI SDK 与 Amazon Bedrock AgentCore 集成的系列教程第二部分，重点介绍了如何为 AI 代理实现内存管理功能。文章通过七个步骤详细说明了从依赖配置、AWS 管理控制台设置、MemoryConfig 类构建，到创建 ChatRequest/Response 模型以及开发 ShortTermController 控制器的完整流程。 作者演示了如何利用 Spring AI 的 Advisor 模式实现短期记忆（Short-Term Memory），通过滑动窗口机制（Sliding Window）保留最近的对话记录，从而在保持上下文相关性的同时有效控制 Token 使用和内存开销。文中还提供了完整的代码示例和验证接口，帮助开发者构建具备对话记忆功能的智能应用。

Spring AI 团队正式发布了 1.0.6、1.1.5 和 2.0.0-M5 三个版本，现已同步至 Maven Central。此次更新主要包含稳定性增强、错误修复、文档优化以及针对多个 CVE 安全漏洞的修复。其中，1.0.6 和 1.1.5 为维护版本，重点在于依赖升级与 Bug 修复。2.0.0-M5 作为重要里程碑版本，引入了多项新功能，包括对 OpenAI Java SDK 的深度整合、Anthropic 网络搜索工具支持等；同时进行了较大的架构调整，移除了 Azure OpenAI、Vertex AI 及 ZhipuAI 等特定模块，并调整了部分 API 的合并逻辑。建议开发者根据迁移指南及时更新并关注潜在的破坏性变更。

核心概述 软件漏洞是开发过程中不可避免的成本来源。研究表明，漏洞发现得越晚，修复成本越高。本文探讨了静态代码分析如何通过“左移”策略，在开发早期阶段识别并解决内存泄漏、硬编码凭据等安全问题。 主要观点 成本递增效应：漏洞在设计阶段修复的成本远低于测试或生产环境，延后修复可能导致高达百倍的额外开销，包括宕机损失、返工成本及合规风险。 静态分析的价值：通过在CI/CD流水线中集成静态代码分析，团队可以在代码提交阶段自动拦截缺陷，避免问题流入主分支。 技术优势： 早期检测：利用实时反馈减少上下文切换，降低修复难度。 降低生产风险：在合并前拦截安全漏洞，避免线上事故。 资源优化：自动化检查减轻人工审查负担，帮助团队偿还技术债务。 通过部署如Qodana等工具，企业可以将安全与质量管理从被动响应转变为主动预防，从而显著提升开发效率并降低长期维护成本。

Hibernate 7 新特性：文本驱动的实体图定义 传统的 JPA 实体图定义方式在处理复杂关联关系时往往显得臃肿冗长。Hibernate 7 引入了增强版的 @NamedEntityGraph 注解，允许开发者通过简洁的文本语法来定义实体获取计划。 核心要点 文本语法：通过逗号分隔属性，使用括号处理嵌套子图，极大地简化了代码结构。 灵活性：支持在同一实体上定义多个命名图，并支持针对继承体系中的特定子类型（如 Author 或 Moderator）进行精细化获取。 运行时解析：Hibernate 提供了 GraphParser 类，支持在运行时动态创建、解析及合并多个实体图。 框架集成：该功能与 JPA EntityManager 及 Spring Data JPA 深度兼容，可通过提示（hints）或注解直接应用于查询中，有效优化了数据库查询的关联加载逻辑。

核心问题 大多数Java应用在与AI模型交互时，直接将用户输入拼接进提示词中，这导致了严重的提示词注入风险。现有的黑名单过滤或AI自我审查等防御手段往往治标不治本，容易被编码技巧绕过。 结构化预防方案：AIQL AI Query Layer (AIQL) 提出了一种基于枚举类型的结构化预防思路。通过完全消除自由文本输入，强制所有数据遵循预定义的YAML模式，从根源上杜绝了恶意指令注入的可能。 工作流程 定义模式：使用YAML文件定义严格的枚举字段，拒绝任何字符串类型输入。 校验引擎：在请求发送至AI模型前，AIQLEngine会对输入进行Schema验证，不符合规范的请求将被直接拦截。 灵活配置：支持多平台提供商（如Anthropic、OpenAI），且API密钥通过环境变量管理，确保安全性。 适用场景 该方案特别适用于金融、医疗或法律等对合规性要求极高、且业务逻辑可预定义的场景。对于需要自由文本输入的聊天机器人等应用，则需结合其他防御手段使用。

JetBrains即将举办一场关于在CI（持续集成）流水线中掌控AI生成代码质量的直播活动。随着AI辅助编码的普及，代码库面临风险、不一致性及隐藏漏洞的挑战。本次直播由Qodana和TeamCity的专家主讲，将重点展示如何通过确定性和可重复的质量检查机制，将AI生成的代码纳入规范化管理。通过实时演示，观众将学习如何自动分析AI代码、强制执行质量标准、减少代码审查瓶颈，并确保代码在进入生产环境前得到充分验证，从而构建既快速又可靠的开发工作流。