Broadcom大幅强化Spring安全体系以应对AI驱动攻击

Broadcom近日宣布对旗下Spring及Java生态系统进行多项安全投资，旨在帮助用户防御AI驱动的威胁。公司称，此次发布了Spring历史上规模最大的开源安全更新，同时为付费客户扩展了净室构建架构，覆盖整个Spring生态的Java依赖项。

Broadcom Tanzu部门副总裁兼总经理Purnima Padmanabhan表示："Spring是全球应用最广泛的应用开发框架之一，作为其管理者，我们对其安全负有深刻责任。这项投资关乎我们绝不会分割的两件事：Spring社区的健康，以及信任Spring来运营业务的客户的安全。"

AI辅助漏洞发现与修复

随着社区报告的安全公告数量激增，Broadcom工程团队已大幅扩展对AI工具的使用，用于识别漏洞、评估修复路径和验证跨依赖生态的修补方案。虽然Broadcom拒绝透露其漏洞搜寻中具体使用的AI模型，但该公司是Anthropic Project Glasswing的成员，Claude Mythos很可能参与其中。

付费墙内的零日补丁

Tanzu Spring企业客户享有一项独占特权：通过Spring Enterprise Repository获取经过验证的CVE补丁优先发布版——这些补丁在向开源社区发布之前即可获取，将安全修复与其他更改隔离，让客户更快完成修复。

Tanzu Spring企业支持还新增了SLSA 3级验证的Java依赖项软件供应链保障，覆盖Spring Boot物料清单管理的完整传递依赖图。仅Spring Boot 4.0就管理着1768个依赖项，横跨所有受支持版本共有超过10万次经过验证的依赖构建。

安全补丁付费引争议

Info-Tech Research Group高级研究分析师Seva Ioussoufovitch对此持保留态度。"将安全补丁置于付费墙之后并不新鲜，但对于像Spring这样关键的生态系统，没有替代方案时，这看起来就像是一次权力展示——迫使更多开源社区用户走向付费轨道。另一种做法是本可以将CVE修复发布给所有人，同时对企业级打包、验证和支持收费。"

不过他也承认Broadcom在安全方面的进展是积极的："看到Broadcom采取主动措施应对近几个月AI检测漏洞的增加，令人鼓舞。像Mythos这样的公告已经清楚表明，行业需要重新思考传统的安全补丁方法。"更值得关注的是经验证的安全依赖项——"这是朝着正确方向迈出的关键一步，尤其是考虑到近几个月行业不断应对的供应链漏洞清单。"