博通(Broadcom)近日宣布,將在其Spring與Java生態系統中進行多項安全投資,旨在幫助用戶抵禦由AI驅動的安全威脅。
博通表示,此次發布的Spring安全更新是該產品歷史上規模最大的一次開源安全更新。與此同時,面向企業客戶,博通還將其潔淨室構建架構(clean-room build architecture)延伸至整個Spring生態系統的Java依賴項構建中。
博通Tanzu事業部副總裁兼總經理Purnima Padmanabhan表示:"Spring是全球應用最廣泛的應用開發框架之一,作為其管理方,我們對其安全性負有深刻責任。由於我們維護Spring並是唯一的代碼提交者,能夠從源頭為所有依賴它的用戶提供更強的安全保障。這項投資圍繞兩個我們絕不會分割的核心:Spring社區的健康發展,以及信任Spring支撐業務運營的客戶的安全。"
博通還宣布,隨著社區報告的安全公告數量大幅增加,其工程團隊已"大規模擴展"AI工具的使用,用於識別漏洞、評估修復路徑,並在依賴生態中驗證修複方案。儘管博通未透露具體使用的AI模型,但由於其是Anthropic旗下Project Glasswing項目的成員,Claude Mythos很可能是其中的組成部分。
零日漏洞補丁搶先訪問權
Tanzu Spring企業客戶可享受一項專屬權益:通過Spring企業倉庫(Spring Enterprise Repository),在相關補丁正式向開源社區發布之前,率先獲取經過驗證的CVE補丁專屬版本。這些補丁將安全修復與其他任何變更相隔離,使客戶能夠更快速地完成漏洞修復。
博通在公告中表示:"通過使用Tanzu Spring的私有製品倉庫,客戶可以確信所獲取的製品是來自Spring管理方博通的官方驗證補丁。"博通還表示,將繼續為所有處於開源支持範圍內的Spring項目各版本發布CVE公告,同時也涵蓋Tanzu Spring企業支持下的舊版本。
博通Tanzu Spring企業支持服務包括:
經過認證的安全Spring庫來源
針對當前版本及舊版企業支持版本的補丁商業優先發布
Java依賴二進制文件訪問權限
通過Spring Application Advisor實現自動化、確定性升級
專屬Tanzu Spring治理與安全組件
全天候技術支持、實操專業服務及Spring團隊直接接入
此外,博通還新增了以下能力:
符合SLSA Level 3驗證標準的安全軟體供應鏈,覆蓋Java依賴項。
覆蓋範圍延伸至Spring Boot物料清單(BOM)所管理的完整傳遞依賴圖譜。
數以千計的安全依賴項,已在每個受支持的Spring版本中完成構建與測試。僅Spring Boot 4.0一個版本就管理著1,768個依賴項;覆蓋完整支持組合後,經過驗證的依賴項構建總數超過100,000個。
公告指出:"這項能力為客戶提供了跨當前版本與生命周期終止版本的經驗證依賴項,幫助客戶在降低軟體供應鏈風險的同時,持續受益於Spring Boot依賴管理模型所帶來的生產效率與一致性。"
行業分析師:利好為主,但補丁付費牆存爭議
Info-Tech Research Group高級研究分析師Seva Ioussoufovitch對這一系列舉措總體持積極態度。
他表示:"看到博通主動應對近期許多組織所面臨的AI檢測漏洞激增問題,令人鼓舞。Mythos等公告已清晰表明,行業需要重新審視傳統的安全補丁方式。"
對於此次更新規模之大,Ioussoufovitch並不感到意外。他指出,這與AI掃描和修復工作持續推進的結果相符,預計這一趨勢還將延續。
"更有價值的是經過驗證和加固的依賴項供應,"他說,"這是朝正確方向邁出的關鍵一步,尤其是在供應鏈漏洞清單不斷擴大的當下。"
不過,Ioussoufovitch對零日補丁僅向付費客戶開放的做法持保留意見。
"將安全修復置於付費牆之後並非新鮮事,但當Spring這樣的關鍵生態系統缺乏可替代選項時,這看起來更像是一種將開源社區推向商業化軌道的強勢之舉,"他指出,"另一種可行方案是向所有人免費發布CVE修復,同時對企業級打包、驗證和支持服務進行收費。但考慮到博通近年來激進的商業化策略,其目前的選擇並不令人意外。"
Q&A
Q1:博通此次Spring安全更新的規模有多大?
A:此次更新被博通稱為Spring產品歷史上規模最大的一次開源安全更新。僅Spring Boot 4.0一個版本就管理著1,768個依賴項,覆蓋完整支持組合後,經過驗證的依賴項構建總數超過100,000個,並且符合SLSA Level 3驗證標準的安全軟體供應鏈也已延伸至全部Java依賴項。
Q2:博通是如何利用AI來提升Spring的安全性的?
A:博通工程團隊已大規模擴展AI工具的使用,主要用於三個方面:識別漏洞、評估修復路徑,以及在依賴生態中驗證修複方案。由於博通是Anthropic旗下Project Glasswing項目的成員,Claude Mythos很可能是其所使用的AI工具之一,但博通未正式披露具體使用的模型。
Q3:Tanzu Spring企業客戶與普通開源用戶在安全補丁獲取上有什麼區別?
A:企業客戶可通過Spring企業倉庫提前獲取零日漏洞的CVE補丁專屬版本,這些補丁在正式向開源社區發布之前就已可用,且與其他變更相隔離,便於快速修復。普通開源用戶則需等待公開發布後才能獲取,這一差異也引發了分析師的批評,認為將安全修復置於付費牆之後有失公允。
