Springは23歳。AIがセキュリティ危機を引き起こした

AIはソフトウェアセキュリティのルールを書き換えており、30年以上にわたりエンタープライズコンピューティングのバックボーンであるJavaエコシステムはその影響をリアルタイムで感じている。BroadcomはオープンソースフレームワークSpringの管理者として、月曜日、フレームワークの23年の歴史で最大のセキュリティアップデートをオープンソース化すると発表した。

同社はまた、SLSAレベル3検証済みのクリーンルームビルドJava依存関係を、エンタープライズTanzu Spring顧客向けにSpringエコシステム全体に提供する。これらの顧客は、オープンソースコミュニティに公開される前に、CVEのみのデイゼロパッチにアクセスできる。動機は明確だ：SpringコミュニティからBroadcomに報告された月間セキュリティアドバイザリは、2026年3月から4月にかけて1700%以上急増した。

この急増は、人間のセキュリティチームが敵わない規模と速度でコードベースを分析できる基盤モデルによって部分的に促進された。開発のボトルネックは脆弱性の発見から、それを十分に迅速に修正することへと移行している。

Constellation ResearchのアナリストHolger Mueller氏は、AIがゲームを変えていると述べる。「安全なエンタープライズSpringフレームワークにおける脆弱性の急増を見てください。AIはスタック全体でゲームを変えており、既存コードの脆弱性を特定するのに驚異的です。Broadcomが人気のSpringフレームワークの管理者として正しいことを行い、見つかった脆弱性を迅速に修正し、SpringをAI時代に対応させているのは良いことです。しかし、惑わされてはいけません。これはスプリントではなくマラソンです。しかし今のところ、Broadcomは良いスタートを切っています。」

JavaのAIモーメントは stakes を高めている。Springは至る所で使われているからだ。このフレームワークはフォーチュン500企業の半数以上で稼働している。そして、Javaが本番環境でAIを実行するためのデフォルト言語になるにつれ、そのフットプリントはますます重要になっている。Azulの2026年Java状態調査（2000人以上のJava専門家からの回答）によると、企業の62%がAI機能をコーディングするためにJavaを使用しており、これは前年の50%から増加している。Pythonがモデル構築とプロトタイピング層を所有しているかもしれないが、Javaはそれらのモデルが実際にビジネスを動かす場所である。

Java専門家は、セキュリティが今やその環境で競争力を維持するための前提条件であることを知っている。Azulが回答者に、AI対応開発環境でJavaに必要な能力を尋ねたところ、組み込みセキュリティ機能が34%で2位（長期サポートに次ぐ）だった。そしてCVEの負担はすでにチームを直撃している：56%が毎日または毎週Java関連のCVEに対処しており、2025年の41%から増加。30%は、チームが時間の半分以上を誤検出の追跡に無駄にしていると答えた。スキャナーが、本番で実際には実行されないコードパスにある脆弱性をフラグ付けするのだ。

Broadcomの対応は2つのトラックで進む。オープンソースのSpringコミュニティ向けには、最先端モデルベースのスキャンと検証ワークフローを拡大し、依存エコシステム全体の脆弱性を特定して修正する。Broadcomによれば、これはSpring史上最大の投資である。有料のTanzu Spring顧客向けには、新しいサービスがオープンソースリリースに先駆けて、Spring Enterprise Repositoryを通じてデイゼロのCVEのみのパッチを提供する。セキュリティ修正を他の変更から分離することがポイントであり、エンタープライズチームがパッチと一緒に意図しない変更を取り込むリスクなしに、より迅速に修正できるようにする。

サプライチェーン部分は重要である。Broadcomは、Bitnamiを支える同じアプローチであるクリーンルームビルドアーキテクチャを、Spring Boot部品表（BOM）によって管理される完全な推移的依存グラフ全体に拡張している。Spring Boot 4.0だけでも1,768の依存関係を管理している。サポート対象の全ポートフォリオ全体で、この投資は10万以上の検証済み依存ビルドをカバーし、現在およびサポート終了のSpringバージョンの両方を含む。

「Springは世界で最も広く採用されているアプリケーション開発フレームワークの1つであり、その管理者として、私たちはそのセキュリティに深い責任を負っています」とBroadcomのTanzu部門バイスプレジデント兼ゼネラルマネージャーであるPurnima Padmanabhan氏は声明で述べた。「私たちがSpringを維持し、唯一のコミッターであるため、それに依存するすべての人のためにソースでそれをより良く保護することができます。」

この「唯一のコミッター」という位置づけは再考に値する。Springはオープンソースプロジェクトであり、BroadcomがVMware買収を通じて継承したその tight grip は、開発者コミュニティ内で摩擦の原因となってきた。同社は独占的な管理をセキュリティ上の利点として提示している。より広範なSpringコミュニティがそれをそのように見るかどうかは別の問題である。

疑いの余地がないのは、Broadcomが対応している問題の規模である。AIは、何年も本番環境で静かに稼働してきたコードの脆弱性を簡単に見つけられるようにしている。最新のSpringアプリケーションの依存グラフは深い。そしてJavaがエンタープライズAIのランタイム層になるにつれ、サプライチェーン侵害のコストは上昇する。Broadcomは、エンタープライズ顧客がデイゼロCVEアクセスと検証済み依存チェーンが提供する速度と確実性に対して支払うことを賭けている。Muellerのマラソンの比喩はおそらく正しい。これはリリースサイクルで解決できる問題ではない。