Spring News Roundup: Point Releases of Boot, Security, Integration, Modulith and Spring AI 2.0

Spring 新闻速递：Boot、Security、Integration、Modulith 和 Spring AI 2.0 的点版本发布 - InfoQ

InfoQ 首页 News Spring 新闻速递：Boot、Security、Integration、Modulith 和 Spring AI 2.0 的点版本发布

Java

人工智能分析时代重新思考日志（网络研讨会 7 月 9 日）

Spring 新闻速递：Boot、Security、Integration、Modulith 和 Spring AI 2.0 的点版本发布

2026 年 6 月 15 日 6 分钟阅读

作者

• Michael Redlich

#### 为 InfoQ 撰写文章

激发你的好奇心。

帮助 55 万+ 全球

高级开发人员

每月保持领先。

联系我

收听这篇文章 -

0:00

音频准备播放

你的浏览器不支持音频元素。

正常

1.25x

1.5x

喜欢

新的下拉阅读列表

• 阅读列表

在 2026 年 6 月 8 日那一周，Spring 生态系统中出现了大量活动，突出了以下点版本的发布：Spring Boot、Spring Security、Spring Session、Spring Integration、Spring Modulith、Spring AMQP 和 Spring Vault；以及 Spring AI 2.0 和 Spring Data 2026.0.0 的 GA 版本发布。

#### Spring Boot

Spring Boot 4.1.0 的发布带来了错误修复、文档改进、依赖项升级和新功能，如：支持 Spring gRPC；为 InvalidConfigurationPropertyValueException 类添加了一个公共构造函数，该构造函数接受一个字符串来描述异常的原因；以及在多次调用 WritableJson 接口中定义的 toByteArray() 方法时减少内存消耗。有关此版本的更多详细信息，可以在发布说明和这篇 InfoQ 新闻故事中找到。

#### Spring Data

Spring Data 2026.0.0 的发布带来了新功能，如：与 Kotlin 2.3.20 和 Vavr 0.11.0 的兼容性；新的注解 Redis 发布/订阅消息监听器；以及类型安全的属性路径。有关此版本的更多详细信息，可以在维基页面中找到。

#### Spring Security

Spring Security 7.1.0 的发布提供了错误修复、依赖项升级和新功能，如：一个新的 InetAddressMatcher 函数接口，可以用作 lambda 表达式或方法引用的分配目标；以及为 AllRequiredFactorsAuthorizationManager 类添加了一个新的 anyOf() 方法，该方法返回一个 AuthorizationManager 接口的实例，以授予满足多个不同认证因素组合之一的用户访问权限。有关此版本的更多详细信息，可以在发布说明和这个新功能页面中找到。

#### Spring Session

Spring Session 4.1.0 的发布带来了错误修复和重要的依赖项升级，如：Spring Boot 4.1.0；Spring Security 7.1.0；Spring Framework 7.0.8；Spring Data 2025.1.6；Project Reactor 2025.0.6；Jackson 3.1.4；和 Testcontainers 2.0.5。有关此版本的更多详细信息，可以在发布说明中找到。

#### Spring Integration

Spring Integration 7.1.0 的发布带来了错误修复、文档改进、依赖项升级和新功能，如：在 Spring Framework 的 @CrossOrigin 注解中禁用 allowCredentials 元素，改用 originPatterns 元素以与 Spring MVC 保持一致；以及对 ExpressionEvaluatingMessageProcessor 类的构造函数进行了改进，移除了异常处理，改用 Spring Framework 的 Assert 类。有关此版本的更多详细信息，可以在发布说明和这个新功能页面中找到。

#### Spring HATEOAS

Spring HATEOAS 3.1.0 的发布提供了错误修复、依赖项升级以及新功能，例如：在 StringLinkRelation 类中改进缓存机制，使得缓存条目不会超过 256 个；以及对 TypeConstrainedJacksonJsonHttpMessageConverter 类中 canWrite() 方法的修改，使其与 Spring Framework 中 AbstractSmartHttpMessageConverter 类中定义的同名方法保持一致。

此次发布还解决了两个 CVE 漏洞：

• CVE-2026-41006，这是一个由于绕过了 Jackson 访问控制注解而导致暴露安全敏感属性的漏洞。

• CVE-2026-41007，这是一个由于前述 StringLinkRelation 类的静态缓存无限制，允许攻击者提供自己的恶意超媒体内容的漏洞。

有关此次发布的更多详细信息，请参阅发布说明。

#### Spring Modulith

Spring Modulith 2.1.0 的发布提供了错误修复、依赖项升级以及新功能，例如：一组新的类，如 NamastackOutboxEventRecorder，用于支持与 Namastack 集成的事件出站引擎；一个新的 JobRunrEventExternalizer 类，用于支持与 JobRunr 集成的事件外部化；以及一个新的 @ModuleSlicing 注解，允许与 Spring Boot 的切片测试注解结合使用，实现应用模块的切片。有关此次发布的更多详细信息，请参阅发布说明。

#### Spring AI

Spring AI 2.0.0 的发布包含错误修复、文档改进、依赖项升级以及新功能，例如：Google GenAI 模型的更新，在 GoogleGenAiChatModel.ChatModel 枚举类中，弃用了 GEMINI_2_0_FLASH、GEMINI_2_0_FLASH_LIGHT 和 GEMINI_3_PRO_PREVIEW 枚举，转而使用新的 GEMINI_3_1_PRO_PREVIEW 枚举；以及在 org.springframework.ai.image.observation 包中改进了空值安全性，通过替换 Jackson Databind JsonNode 抽象类中已弃用的方法。有关此次发布的更多详细信息，请参阅发布说明。

#### Spring AMQP

Spring AMQP 4.1.0 的发布提供了错误修复、依赖项升级以及新功能，例如：与 RabbitMQ 4.3.0 的兼容性；从所有 Jackson 消息转换器中移除了通配符字符，以“不信任任何人”为默认设置；以及一个新的 spring-amqp-client 模块，支持与通用 AMQP 1.0 协议的交互。有关此次发布的更多详细信息，请参阅发布说明和此新功能页面。

#### Spring for Apache Kafka

Spring for Apache Kafka 4.1.0 的发布提供了错误修复、文档改进、依赖项升级以及一个新功能，即对 FailedRecordProcessor 类中定义的 setBackOffFunction() 方法进行调整，以批量处理消息。

此次发布还解决了三个 CVE 漏洞：

• CVE-2026-41726，这是一个由于无限制的消费者堆导致垃圾回收（GC）抖动和 OutOfMemoryError 异常，从而允许攻击者发送恶意选择器头的漏洞。

• CVE-2026-41727，这是一个由于允许攻击者发送带有恶意 retry_topic-attempts 头的记录，从而“提供超出范围的尝试次数，并导致重试主题路由器错误地识别消息在重试序列中的位置”的漏洞。这可能导致任意长时间的暂停，使监听器远远超出任何预期的重试窗口。

• CVE-2026-41731，一个漏洞，允许攻击者向 JsonKafkaHeaderMapper 和已弃用的 DefaultKafkaHeaderMapper 类的实例提供恶意头值，这些类针对受信任的包，隐式信任其所有子包，使用前缀检查导致消费者反序列化任意的 JDK 类型。

#### Spring LDAP

Spring LDAP 4.1.0 的发布包含许多依赖项升级和一个新功能，弃用 LdapClient 接口中 toEntry()、toObject()、toList() 和 toStream() 方法，转而使用新增的 map()、single()、optional()、list() 和 stream() 方法。

此版本还解决了 CVE-2026-41720 漏洞，该漏洞允许攻击者在拥有有效用户名的情况下，通过提供空或 null 密码来获得授权，因为 DirContextAuthenticationStrategy 接口的实现没有拒绝此类密码。

有关此版本的更多细节，请参阅发布说明和此新功能页面。

#### Spring Vault

Spring Vault 4.1.0 的发布提供了错误修复、文档改进、依赖项升级和新功能，例如：新增的接口 VaultClient 和 ReactiveVaultClient，旨在提供一个“中间抽象层，强制在核心处理相对路径，防止意外使用绝对路径”；以及新增的 ManagedSecret 类，用于简化对托管密钥的使用。有关此版本的更多细节，请参阅发布说明和此维基页面。

#### Spring gRPC

Spring gRPC 1.1.0 的发布提供了错误修复和重要更改，例如：可以在应用程序属性文件中通过名称配置进程内通道；以及为 gRPC 服务添加了基于注解的异常处理。有关此版本的更多细节，请参阅发布说明。

main wrapper for authors section

关于作者

section title

main wrapper for each author

#### Michael Redlich

显示更多

显示更少

#### 此内容属于 Java 主题

##### 相关主题：

• 开发

• 架构与设计

• Spring Data

• AMQP

• LDAP

• Spring Boot

• Spring Security

• Apache Kafka

• gRPC

• Spring AI

• Spring Integration

• Java

• 相关编辑

• 相关赞助商 基于 AWS 的 Agentic AI SRE

• 相关赞助商 使用 Agentic AI 提升 AWS 效率 —— 统一遥测数据，减少噪音，更快解决事件。了解更多。

InfoQ 新闻通讯

每周内容精选，每星期二发送。加入超过 25 万名高级开发者的社区。查看示例

我们保护您的隐私。