Asymm Systems 发布了 Eliya 25.0.3，这是一个基于 OpenJDK 25 LTS 的发行版，专注于提升 Java 生产环境的诊断能力。该版本将多个 HotSpot 特性整合到一个可选的生产配置中，旨在为需要可靠诊断数据的团队提供服务，尤其是在受监管的环境中。未来计划推出第二阶段的增强功能。

金融科技安全与合规挑战 金融行业安全事件频发且成本高昂，2024年平均数据泄露成本达608万美元。攻击途径不断演变，利用软件漏洞发起的攻击同比增长180%。合规框架（PCI DSS、SOC 2、NIST SSDF、ISO 27001）要求提供过程有效的证据，但人工审查难以满足一致性要求。 SAST如何助力合规 静态应用安全测试（SAST）通过自动检查代码模式，可发现注入漏洞、加密缺陷、硬编码凭证等问题，并在CI/CD流水线中生成可审计的记录。它支持PCI DSS 6.2代码审查要求、SOC 2变更管理、NIST SSDF自动化分析建议，以及ISO 27001安全编码控制。 实践建议 团队应先在基线扫描后逐步实施门禁，对核心模块设置严格策略，记录每一次压制操作，并保留扫描历史作为审计证据。SAST不能替代运行时测试、SCA、渗透测试等，但它是合规体系的基础组件。 结论 合规不是部署工具就能实现，而是通过可重复的过程持续证明。将SAST集成到SDLC中，能自动化审查、生成结构化证据、强化安全标准，是金融科技工程团队的必备基础设施。

JetBrains 宣布自 IntelliJ IDEA 2026.2 起将停止维护 Kotlin Notebook，不再为其开发新功能。该插件将转为开源模式，允许社区继续开发。原因是 AI 工具的普及改变了开发者工作流程，Kotlin Notebook 未达到预期采用率。未来 JetBrains 不再发布兼容后续版本的插件，但 Kotlin Jupyter 内核会尽量维护。Kotlin DataFrame 将继续发展，并已支持在常规 Gradle 和 Maven 项目中使用。用户可在 Kotlin Slack 渠道参与讨论或贡献代码。

2026年6月，Jackson库的jackson-databind组件被一次性披露7个漏洞，其中两个为严重远程代码执行（RCE），其余为访问控制和反序列化绕过。这些漏洞由同一研究员通过AI辅助发现，展示了AI在安全研究中的强大能力。漏洞影响广泛版本，建议用户升级至修复版本2.18.8、2.21.4或3.1.4。对于已停止支持的版本，可通过商业方案获取补丁。此事件表明AI辅助漏洞挖掘正成为常态，库安全需要持续关注。

本文是该教程系列的第三部分。在前两部分分别介绍了RAG基础（将运行手册加载到向量存储）和对话记忆（短期与长期记忆）后，本文核心聚焦于有状态工作流检查点、工具调用以及暂停/恢复机制，使得多步骤的运维调查能够跨越会话边界。 作者设计了一个在MongoDB中持久化的检查点文档，记录工作流当前步骤、状态、工具执行引用等。结合Spring AI的@Tool注解，模型能够主动调用服务状态工具获取实时指标（如CPU、内存），并通过ThreadLocal传递会话上下文以记录审计日志。暴露了GET/POST API用于查看和恢复工作流状态，支持人在回路中的暂停与恢复。 整个系统以MongoDB作为唯一持久层，统一管理结构化知识、对话历史、长期记忆和工作流状态，降低了基础设施复杂度。该架构具备良好的可扩展性，可替换为真实监控数据并添加更多自定义工具，为构建生产级AI运维助手提供了完整蓝图。

本文介绍了Spring AI中的工具搜索工具（Tool Search Tool），它通过在运行时动态发现和暴露工具，避免将所有工具定义一次性发送给大语言模型（LLM），从而显著减少Token消耗。文章详细说明了工作流程：启动时索引所有工具但不发送，仅暴露工具搜索工具给LLM；当模型需要特定能力时，调用搜索工具并返回最相关的工具定义。通过一个旅行助手示例展示了实现方式，包括配置依赖、飞行工具集成、Token计数顾问，并通过测试对比验证了使用工具搜索工具后Token用量从3685降至974。结论指出工具数量越多，节省效果越明显，并提到可扩展其他搜索策略如向量搜索。

Java 26 正式发布，带来多项重要更新：限制反射修改final字段以增强封装性；移除已弃用的Applet API；AOT对象缓存支持所有垃圾回收器；HTTP客户端支持HTTP/3协议，降低延迟；G1回收器吞吐量改进；引入PEM编码API（二次预览）、结构化并发（第六次预览）、延迟常量（二次预览）、Vector API（第十一次孵化）以及基本类型在模式匹配中的支持（第四次预览）。这些特性提升了性能、安全性和开发效率。

本文详细介绍了Apache Paimon的Java API，包括如何创建数据湖、定义表结构、执行CRUD操作。Paimon是一个开源数据湖仓一体格式，支持流批处理和OLAP，可集成HDFS、对象存储等存储系统。文章通过IT基础设施监控指标存储的实际场景，演示了数据库管理器的使用：创建目录和表、批量插入记录、过滤查询、基于主键的更新与删除操作。API支持过滤下推、列投影和并行读取，适用于实时流和批量处理应用。源代码可在GitHub上获取。

Endive 1.0 作为纯 Java 的 WebAssembly 运行时在 Bytecode Alliance 旗下正式发布，可在 Maven Central 获取。它源自 Chicory 项目，支持迁移、WasmGC（让 Kotlin/Wasm 等 GC 语言无缝运行）、尾调用优化（提升 CPython 等解释器性能）以及通过 tree-sitter 等库封装将原生库编译为 Wasm 并以 JAR 形式分发，替代 JNI。此外，Endive 还可作为宿主运行 wasmCloud 等应用，社区正探索 Component Model 和 Cranelift 原生编译支持。该项目为 Java 生态带来了无需平台特定二进制即可集成 Wasm 的能力。