北京
如果你發(fā)現(xiàn)自家圍墻有裂縫,第一反應(yīng)通常是悄悄補(bǔ)上,別讓小偷知道。但有一家公司,最近決定反著來——它要把自家最核心產(chǎn)品的安全漏洞和修補(bǔ)方案,大規(guī)模開源給所有人看。這等于公開宣布:我家有門,但你們誰也撬不開。
這家公司就是Broadcom。它手里的Spring框架,是Java生態(tài)里最基礎(chǔ)的東西,全球超過一半的財富500強(qiáng)企業(yè)在用它跑關(guān)鍵應(yīng)用。你銀行的交易系統(tǒng)、航司的訂票后臺,很可能就跑在Spring上。
上周,Broadcom的Tanzu部門扔出了一枚重磅炸彈:發(fā)布Spring框架23年歷史上最大規(guī)模的開源安全更新。注意這個數(shù)字——23年。比iPhone誕生還早好幾年。
為什么突然這么大方?答案藏在另一組數(shù)據(jù)里。根據(jù)Broadcom官方信息,從2026年3月到4月,Spring社區(qū)報告的月度安全公告數(shù)量飆升了超過1700%。不是17%,是1700%。這個增長曲線,幾乎是一條垂直向上的直線。
背景是AI檢測到的安全威脅正在爆發(fā)式增長。攻擊者用AI生成惡意代碼的速度,已經(jīng)超過了傳統(tǒng)人工審核的極限。Broadcom的Spring工程團(tuán)隊被迫全面升級武器庫,開始用前沿模型做安全掃描,在龐大的依賴關(guān)系生態(tài)里自動識別漏洞、驗證修復(fù)方案。一位技術(shù)主管的話說得很實在:作為Spring的管理者和唯一提交者,保護(hù)這個社區(qū)和客戶的安全,是同一件事,分不開。
這次更新的核心,是一套他們稱為“潔凈室構(gòu)建架構(gòu)”的東西。這個名詞聽起來有點科幻,其實邏輯很樸素:所有Java依賴的構(gòu)建過程,都在一個完全隔離、嚴(yán)格受控的環(huán)境里完成,徹底堵死第三方組件被投毒的可能性。這套方法之前在Bitnami項目上跑通了,現(xiàn)在要覆蓋Spring的整個生態(tài)。Spring Boot 4.0這一個版本,就管理著1768個依賴項;整個受支持的產(chǎn)品組合加起來,已驗證的依賴構(gòu)建數(shù)量超過10萬個。這是個天文數(shù)字級別的供應(yīng)鏈管控。
更關(guān)鍵的商業(yè)策略,是押注“時間差”。從這次更新開始,Tanzu的付費(fèi)客戶可以在漏洞修復(fù)補(bǔ)丁進(jìn)入開源倉庫之前,就通過企業(yè)級倉庫拿到經(jīng)過驗證的CVE專項補(bǔ)丁。這等于在公開漏洞和黑客攻擊之間搶出了一段黃金窗口——客戶可以先于攻擊者把門封死,而社區(qū)版用戶則稍晚一步。這份優(yōu)先權(quán),也是Broadcom為安全買單給出的直接回報。補(bǔ)丁本身附帶SLSA三級認(rèn)證的軟件供應(yīng)鏈證明,覆蓋Spring Boot物料清單的完整傳遞依賴圖譜。
Broadcom本身并不是純粹的軟件公司,它的半導(dǎo)體業(yè)務(wù)貢獻(xiàn)了相當(dāng)可觀的利潤——2025財年凈利潤231.3億美元,利潤率38.85%。分析師們對這支股票普遍看好,認(rèn)為還有近三成的上漲空間。但這次Spring安全大動作釋放的信號很清晰:在基礎(chǔ)設(shè)施軟件領(lǐng)域,它準(zhǔn)備把“安全”打成一張區(qū)別于所有競爭者的關(guān)鍵牌。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
