Spring已23岁，AI使其成为安全紧急事件

人工智能正在重写软件安全的规则，而作为企业计算支柱超过30年的Java生态系统正实时感受到这一变化。Broadcom作为Spring开源框架的维护者，周一宣布了该框架23年历史上最大规模的安全更新开源计划。

公司还将经过SLSA Level 3验证、清洁室构建的Java依赖项提供给整个Spring生态系统中的企业Tanzu Spring客户，这些客户将在漏洞公开前获得仅针对CVE的日零补丁。动机很明确：Spring社区向Broadcom报告的月度安全公告从2026年3月到4月激增了超过1700%。

这一急剧增长部分由基础模型驱动，这些模型能以人类安全团队无法匹敌的规模和速度分析代码库。开发瓶颈已从发现漏洞转向足够快地修复它们。

Constellation Research分析师Holger Mueller表示，AI正在改变游戏规则。“看看安全的Spring框架中漏洞的激增。AI正在整个堆栈中改变游戏，并且在识别现有代码中的漏洞方面表现出色。很高兴看到Broadcom作为流行的Spring框架的维护者做了正确的事，快速修复发现的漏洞，让Spring为AI时代做好准备。但不要被愚弄。这不是短跑，而是马拉松。但目前来看，Broadcom开局良好。”

Java的AI时刻提高了赌注，因为Spring无处不在。该框架运行在超过一半的财富500强公司中。随着Java成为生产中运行AI的默认语言，其影响只会越来越大。根据Azul的2026年Java状态调查（来自2000多名Java专业人士），62%的企业现在使用Java编写AI功能，高于一年前的50%。Python可能拥有模型构建和原型设计层，但Java是这些模型实际运行业务的地方。

Java专业人士知道安全现在是在这种环境中保持竞争力的基本要素。当Azul询问受访者在AI驱动开发环境中Java需要哪些能力时，内置安全特性以34%的占比排名第二，仅次于长期支持。CVE负担已经严重打击团队：56%的人每天或每周处理与Java相关的CVE，高于2025年的41%。30%的人表示他们的团队浪费超过一半的时间追逐误报——扫描器标记的漏洞位于从未在生产中执行的代码路径中。

Broadcom的回应分两条轨道进行。对于开源Spring社区，公司已扩大使用前沿模型扫描和验证工作流，以识别和修复依赖生态系统中的漏洞——Broadcom称这是Spring历史上最大规模的投资。对于付费Tanzu Spring客户，新服务通过Spring企业仓库提供日零、仅CVE的补丁，先于开源版本。将安全修复与其他任何更改隔离是关键：它使企业团队能更快地修复，而无需承担随补丁一起引入意外更改的风险。

供应链部分意义重大。Broadcom将其清洁室构建架构（支撑Bitnami的同一方法）扩展到由Spring Boot物料清单管理的完整传递依赖图。仅Spring Boot 4.0就管理了1768个依赖项。在整个支持产品组合中，这项投资覆盖了超过10万个经过验证的依赖构建，涵盖当前和生命周期结束的Spring版本。

“Spring是世界上应用最广泛的应用程序开发框架之一，作为其维护者，我们对其安全负有深层次责任，”Broadcom Tanzu部门副总裁兼总经理Purnima Padmanabhan在一份声明中表示。“因为我们维护Spring并且是唯一的提交者，所以我们能更好地在源头保护它，为所有依赖它的人提供安全保障。”

“唯一提交者”的定位值得深思。Spring是一个开源项目，Broadcom通过收购VMware继承了对它的严格控制，这在开发者社区中一直是一个摩擦点。公司正将独家维护作为安全优势来展示。但更广泛的Spring社区是否这么看是另一个问题。

毫无疑问的是Broadcom所回应的问题的规模。AI使得在多年来一直静默运行在生产中的代码中轻松发现漏洞。现代Spring应用程序的依赖图很深。随着Java成为企业AI的运行时层，供应链泄露的代价更高了。Broadcom押注企业客户会为日零CVE访问和经过验证的依赖链所带来的速度和确定性付费。Mueller的马拉松比喻很可能是对的。这不是一个能在发布周期中解决的问题。