Spring已23歲，AI使其成為安全緊急事件

人工智能正在重寫軟件安全的規則，而作為企業計算支柱超過30年的Java生態系統正實時感受到這一變化。Broadcom作為Spring開源框架的維護者，週一宣佈了該框架23年曆史上最大規模的安全更新開源計劃。

公司還將經過SLSA Level 3驗證、清潔室構建的Java依賴項提供給整個Spring生態系統中的企業Tanzu Spring客户，這些客户將在漏洞公開前獲得僅針對CVE的日零補丁。動機很明確：Spring社區向Broadcom報告的月度安全公告從2026年3月到4月激增了超過1700%。

這一急劇增長部分由基礎模型驅動，這些模型能以人類安全團隊無法匹敵的規模和速度分析代碼庫。開發瓶頸已從發現漏洞轉向足夠快地修復它們。

Constellation Research分析師Holger Mueller表示，AI正在改變遊戲規則。“看看安全的Spring框架中漏洞的激增。AI正在整個堆棧中改變遊戲，並且在識別現有代碼中的漏洞方面表現出色。很高興看到Broadcom作為流行的Spring框架的維護者做了正確的事，快速修復發現的漏洞，讓Spring為AI時代做好準備。但不要被愚弄。這不是短跑，而是馬拉松。但目前來看，Broadcom開局良好。”

Java的AI時刻提高了賭注，因為Spring無處不在。該框架運行在超過一半的財富500強公司中。隨着Java成為生產中運行AI的默認語言，其影響只會越來越大。根據Azul的2026年Java狀態調查（來自2000多名Java專業人士），62%的企業現在使用Java編寫AI功能，高於一年前的50%。Python可能擁有模型構建和原型設計層，但Java是這些模型實際運行業務的地方。

Java專業人士知道安全現在是在這種環境中保持競爭力的基本要素。當Azul詢問受訪者在AI驅動開發環境中Java需要哪些能力時，內置安全特性以34%的佔比排名第二，僅次於長期支持。CVE負擔已經嚴重打擊團隊：56%的人每天或每週處理與Java相關的CVE，高於2025年的41%。30%的人表示他們的團隊浪費超過一半的時間追逐誤報——掃描器標記的漏洞位於從未在生產中執行的代碼路徑中。

Broadcom的回應分兩條軌道進行。對於開源Spring社區，公司已擴大使用前沿模型掃描和驗證工作流，以識別和修復依賴生態系統中的漏洞——Broadcom稱這是Spring歷史上最大規模的投資。對於付費Tanzu Spring客户，新服務通過Spring企業倉庫提供日零、僅CVE的補丁，先於開源版本。將安全修復與其他任何更改隔離是關鍵：它使企業團隊能更快地修復，而無需承擔隨補丁一起引入意外更改的風險。

供應鏈部分意義重大。Broadcom將其清潔室構建架構（支撐Bitnami的同一方法）擴展到由Spring Boot物料清單管理的完整傳遞依賴圖。僅Spring Boot 4.0就管理了1768個依賴項。在整個支持產品組合中，這項投資覆蓋了超過10萬個經過驗證的依賴構建，涵蓋當前和生命週期結束的Spring版本。

“Spring是世界上應用最廣泛的應用程序開發框架之一，作為其維護者，我們對其安全負有深層次責任，”Broadcom Tanzu部門副總裁兼總經理Purnima Padmanabhan在一份聲明中表示。“因為我們維護Spring並且是唯一的提交者，所以我們能更好地在源頭保護它，為所有依賴它的人提供安全保障。”

“唯一提交者”的定位值得深思。Spring是一個開源項目，Broadcom通過收購VMware繼承了對它的嚴格控制，這在開發者社區中一直是一個摩擦點。公司正將獨家維護作為安全優勢來展示。但更廣泛的Spring社區是否這麼看是另一個問題。

毫無疑問的是Broadcom所回應的問題的規模。AI使得在多年來一直靜默運行在生產中的代碼中輕鬆發現漏洞。現代Spring應用程序的依賴圖很深。隨着Java成為企業AI的運行時層，供應鏈泄露的代價更高了。Broadcom押注企業客户會為日零CVE訪問和經過驗證的依賴鏈所帶來的速度和確定性付費。Mueller的馬拉松比喻很可能是對的。這不是一個能在發佈週期中解決的問題。