AI时代的Spring与安全
TL;DR:正如之前所述,原定五月的 Spring 发布列车已调整并压缩至 6 月 8 日至 14 日。Spring 产品组合中的大多数项目都需要升级以应用新发布的安全补丁。强烈建议尽快升级至最新补丁。预计排期的详细信息请访问 calendar.spring.io。
放眼 2026 年,生成式 AI 无处不在。在我们的行业中,我们看到生成式 AI 带来了实质性的影响:它加速了业务能力上市的时间,通过更快修复缺陷来提高质量,并自动化非编程任务,使工程师能够专注于最关键的领域。
开源世界正从两个方面经历这些新能力。我们不仅在自己的工作流程中利用了这些新能力——加速了新功能和 bug 修复的交付——随着整个社区同样在做这件事,我们也感受到了其影响。对于一个 4-10 名工程师的开发团队来说,使用生成式 AI 更快地构建新功能是一回事;而当团队中的每位工程师背后都有社区中数十人使用生成式 AI 来创建 issue、拉取请求和安全报告时,情况就完全不同了。每个人(包括我们)都处在学习如何最好地利用这些新工具同时避免“AI 垃圾”的不同阶段。
安全报告是我们以及整个开源生态系统所经历增长的关键领域。AI 模型大幅降低了识别可能成为漏洞的代码模式所需的技能和知识水平,并在最初发现问题方面也变得更加出色。关于 AI 生成的新安全报告激增的一个例子是 Mozilla 最近发布了 150 个修复,涉及超过 270 个漏洞,这些修复源于 Anthropic 的新 Mythos 预览版进行的代码扫描。我们看到了 FreeBSD(被认为是业界最安全的操作系统之一)通过 AI 发现了一个存在 20 年的 CVE。这只是当前浪潮中开源社区所经历的众多例子中的几个。
安全报告与 Spring
正如其他人所报告的,与历史平均水平相比,四月份 Spring 公布的 CVE 数量出现了激增。我们总共公布了产品组合中的 26 个新 CVE。但这并未突出显示安全报告同样显着的激增。与历史平均水平(通常每月约 6.5 个新安全报告)相比,接收到的报告数量出现了急剧上升。2026 年 3 月,社区提交了 55 份新的安全报告,最终导致 4 月份公布了 26 个新的 CVE。
[LOADING...]
四月份,利用新的扫描能力,我们在 65 个被扫描的项目中收到了前所未有的 482 份新安全报告。在这 482 份新报告中,370 份来自我们的内部扫描能力,112 份来自社区。这意味着即使没有新的扫描,与三月份已经很高的数字相比,我们仍然会看到社区报告数量翻倍。虽然四月份的报告显然出现了极端峰值,但我们预计报告不会在几个月内回落至历史水平,因为基于 AI 的报告仍在涌入(例如,五月份有 72 份社区报告)。
需要注意的是,并非每份安全报告都会导致发布新的 CVE。上述总数包括许多被过滤掉的重复或无效发现(37% 的内部扫描结果被识别为重复或无效)。如前所述,我们会从多个来源收到许多报告,以及一些并非框架本身实际安全问题的发现。我们直接与研究人员合作,澄清每份报告的范围和影响,从而就如何处理达成共识。
我们强烈建议所有 Spring 用户升级到 6 月份发布的最新版本,以解决大量正在公布的安全漏洞。虽然大多数 CVE 为中低严重性,但本次发布的数量之大值得特别关注。
VMware Tanzu Spring 可以提供帮助
我们极为严肃地承担起保护全球最流行的 JVM 应用框架的责任。每份安全报告都会由其所针对项目的专家提交者进行分诊和管理。团队与报告者合作,充分理解问题——它是否是一个实际的担忧以及修复的范围。我们还让报告者验证我们开发的任何修复,以确保其正确无误。这在开源支持领域是罕见的。在 2024 年 1 月至 2025 年 9 月期间,只有 2.6% 提交给 MITRE 的漏洞有公开的概念验证发布1。这限制了非维护者验证修复的能力。作为 Spring 产品组合中唯一的原厂支持提供商,VMware Tanzu Spring 拥有独特的优势,能够确保安全社区与我们的修复之间达到这种协作水平,使我们成为唯一能够在 CVE 公开宣布之前发布修复的供应商。
Java 生态系统变化的步伐一直在加速。Java 每六个月发布一个版本只是其中一个例子;Spring Boot 所依赖的许多项目每几个月就会发布新版本。AI 对安全报告和发现的漏洞的影响只会加速企业需要消费的发布数量以保持合规,以及企业消费这些版本的速度。Tanzu Spring 通过自动化升级来帮助您保持安全与合规。Application Advisor 提供的不仅仅是 Dependabot 式的依赖升级,而是实际的代码升级。它集成到您的 CI 系统中,根据最新可用的 Spring 版本生成拉取请求,让您的系统保持补丁更新和安全。
Spring 团队和 Tanzu 将继续通过适当的披露措施处理所有收到的安全报告,以保护我们的客户和社区的安全。然而,这是一个新时代。虽然我们预计这种报告增加不会只是单月事件,但我们预计随着我们解决这类新型工具所能识别的问题,报告数量会减少。我们已经看到来自多个来源的重复报告显着增加,表明可发现的数量是有限的。一旦我们解决了这些问题,虽然数量会下降,但在可预见的将来,我们预计不会回归历史常态。
您可以在 https://spring.io/security 找到我们任何安全公告的信息。关于我们的安全政策,您可以在此阅读。
我们鼓励 Tanzu Spring 客户利用 Spring Enterprise Repository 中的第 0 天安全补丁访问权限,并按照常规发布节奏应用新修复。如果您在应用补丁或升级版本时需要额外帮助,Tanzu Spring 提供专业服务和高级支持。
如果您不确定自己是否有权访问 Spring Enterprise Repository,或有任何疑问,请随时联系我们。