博通(Broadcom)近日宣布,将在其Spring与Java生态系统中进行多项安全投资,旨在帮助用户抵御由AI驱动的安全威胁。
博通表示,此次发布的Spring安全更新是该产品历史上规模最大的一次开源安全更新。与此同时,面向企业客户,博通还将其洁净室构建架构(clean-room build architecture)延伸至整个Spring生态系统的Java依赖项构建中。
博通Tanzu事业部副总裁兼总经理Purnima Padmanabhan表示:"Spring是全球应用最广泛的应用开发框架之一,作为其管理方,我们对其安全性负有深刻责任。由于我们维护Spring并是唯一的代码提交者,能够从源头为所有依赖它的用户提供更强的安全保障。这项投资围绕两个我们绝不会分割的核心:Spring社区的健康发展,以及信任Spring支撑业务运营的客户的安全。"
博通还宣布,随着社区报告的安全公告数量大幅增加,其工程团队已"大规模扩展"AI工具的使用,用于识别漏洞、评估修复路径,并在依赖生态中验证修复方案。尽管博通未透露具体使用的AI模型,但由于其是Anthropic旗下Project Glasswing项目的成员,Claude Mythos很可能是其中的组成部分。
零日漏洞补丁抢先访问权
Tanzu Spring企业客户可享受一项专属权益:通过Spring企业仓库(Spring Enterprise Repository),在相关补丁正式向开源社区发布之前,率先获取经过验证的CVE补丁专属版本。这些补丁将安全修复与其他任何变更相隔离,使客户能够更快速地完成漏洞修复。
博通在公告中表示:"通过使用Tanzu Spring的私有制品仓库,客户可以确信所获取的制品是来自Spring管理方博通的官方验证补丁。"博通还表示,将继续为所有处于开源支持范围内的Spring项目各版本发布CVE公告,同时也涵盖Tanzu Spring企业支持下的旧版本。
博通Tanzu Spring企业支持服务包括:
经过认证的安全Spring库来源
针对当前版本及旧版企业支持版本的补丁商业优先发布
Java依赖二进制文件访问权限
通过Spring Application Advisor实现自动化、确定性升级
专属Tanzu Spring治理与安全组件
全天候技术支持、实操专业服务及Spring团队直接接入
此外,博通还新增了以下能力:
符合SLSA Level 3验证标准的安全软件供应链,覆盖Java依赖项。
覆盖范围延伸至Spring Boot物料清单(BOM)所管理的完整传递依赖图谱。
数以千计的安全依赖项,已在每个受支持的Spring版本中完成构建与测试。仅Spring Boot 4.0一个版本就管理着1,768个依赖项;覆盖完整支持组合后,经过验证的依赖项构建总数超过100,000个。
公告指出:"这项能力为客户提供了跨当前版本与生命周期终止版本的经验证依赖项,帮助客户在降低软件供应链风险的同时,持续受益于Spring Boot依赖管理模型所带来的生产效率与一致性。"
行业分析师:利好为主,但补丁付费墙存争议
Info-Tech Research Group高级研究分析师Seva Ioussoufovitch对这一系列举措总体持积极态度。
他表示:"看到博通主动应对近期许多组织所面临的AI检测漏洞激增问题,令人鼓舞。Mythos等公告已清晰表明,行业需要重新审视传统的安全补丁方式。"
对于此次更新规模之大,Ioussoufovitch并不感到意外。他指出,这与AI扫描和修复工作持续推进的结果相符,预计这一趋势还将延续。
"更有价值的是经过验证和加固的依赖项供应,"他说,"这是朝正确方向迈出的关键一步,尤其是在供应链漏洞清单不断扩大的当下。"
不过,Ioussoufovitch对零日补丁仅向付费客户开放的做法持保留意见。
"将安全修复置于付费墙之后并非新鲜事,但当Spring这样的关键生态系统缺乏可替代选项时,这看起来更像是一种将开源社区推向商业化轨道的强势之举,"他指出,"另一种可行方案是向所有人免费发布CVE修复,同时对企业级打包、验证和支持服务进行收费。但考虑到博通近年来激进的商业化策略,其目前的选择并不令人意外。"
Q&A
Q1:博通此次Spring安全更新的规模有多大?
A:此次更新被博通称为Spring产品历史上规模最大的一次开源安全更新。仅Spring Boot 4.0一个版本就管理着1,768个依赖项,覆盖完整支持组合后,经过验证的依赖项构建总数超过100,000个,并且符合SLSA Level 3验证标准的安全软件供应链也已延伸至全部Java依赖项。
Q2:博通是如何利用AI来提升Spring的安全性的?
A:博通工程团队已大规模扩展AI工具的使用,主要用于三个方面:识别漏洞、评估修复路径,以及在依赖生态中验证修复方案。由于博通是Anthropic旗下Project Glasswing项目的成员,Claude Mythos很可能是其所使用的AI工具之一,但博通未正式披露具体使用的模型。
Q3:Tanzu Spring企业客户与普通开源用户在安全补丁获取上有什么区别?
A:企业客户可通过Spring企业仓库提前获取零日漏洞的CVE补丁专属版本,这些补丁在正式向开源社区发布之前就已可用,且与其他变更相隔离,便于快速修复。普通开源用户则需等待公开发布后才能获取,这一差异也引发了分析师的批评,认为将安全修复置于付费墙之后有失公允。
好文章,需要你的鼓励
英国NHS计划在NHS App中部署AI智能分诊工具,作为三年100亿英镑数字化转型计划的一部分。该工具可引导患者前往最合适的医疗服务渠道,包括全科医生、药店或急诊等。试点数据显示,早高峰电话等待人数减少29%。此外,AI语音记录工具可为临床医生节省近四分之一的行政时间。该应用将于未来12个月向约20万患者开放,并计划于2028年4月前全面推广。
LUMOS是一个让AI通过操作系统无障碍接口直接读取界面语义信息来操控电脑的中间层,避免依赖截图识别,降低AI电脑操作的资源消耗和出错率。
巴黎创业中心Station F正在筹备其F/ai加速器项目的第二批次,计划于9月启动。第一批次吸引了AMD、Anthropic、OpenAI、Meta等众多科技巨头支持,20家AI初创公司共完成3400万美元的种子前融资,并已有两支团队获得国际认可。第二批次将新增ElevenLabs、Nebius、Rippling等合作伙伴,目标是帮助初创公司在六个月内实现100万欧元收入,推动欧洲AI创业生态发展。
腾讯混元联合多所高校提出PolyFlow,用流匹配模型并行生成艺术家风格3D网格,速度比自回归方法快百倍,几何精度达到新高。