Spring和AI时代的安全挑战
TL;DR · AI 摘要
Spring框架因AI驱动的安全报告激增面临挑战,2026年4月收到482份报告(37%无效),强烈建议用户升级至6月发布的补丁版本以修复26个CVE。
核心要点
- 2026年4月Spring收到482份安全报告,其中37%被判定为重复或无效,较历史月均6.5份增长74倍。
- AI工具使安全报告量激增,3月社区报告55份,4月达112份(不含内部扫描的370份)。
- Spring建议所有用户在6月8-14日升级至最新补丁版本,以修复26个中低危CVE。
结构提纲
按章节快速跳转。
思维导图
用一张图看清主题之间的关系。
查看大纲文本(无障碍 / 无 JS 友好)
- Spring框架AI安全挑战
- 安全报告激增
- 4月482份报告(37%无效)
- 升级建议
- 6月8-14日补丁发布
金句 / Highlights
值得收藏与分享的关键句。
2026年3月社区提交55份安全报告,导致4月发布26个新CVE。
2026年4月,通过新扫描能力,Spring在65个项目中收到482份新安全报告。
37%的内部扫描结果被判定为重复或无效。
TL;DR:如[先前所述](https://spring.io/blog/2026/06/01/may-train-shift),5月的Spring发布列车已调整并合并至6月8日至14日。Spring产品组合中的大多数项目都需要升级以应用新发布的安全补丁。强烈建议尽快升级至最新补丁。有关预期时间安排的详细信息,请访问[calendar.spring.io](https://calendar.spring.io/)。
- * *
在2026年的各个领域,生成式AI主导着新闻头条。在我们的行业中,生成式AI正在产生实质性影响,它能够加速业务能力的上市时间、通过更快地解决缺陷来提高质量,并自动化非编程任务,使工程师能够专注于最关键的工作。
开源领域正从两个方面体验这些新能力。我们不仅在自身工作流程中利用这些新能力——加速新功能和错误修复的交付——还感受到整个社区同样行动带来的影响。一个4-10人的开发团队使用生成式AI更快地构建新功能是一回事,而当团队中的每位工程师背后都有数十位社区成员使用生成式AI创建问题、拉取请求和安全报告时,情况则完全不同。每个人,包括我们自己,都处于学习如何充分利用这些新工具并避免“AI垃圾”的不同阶段。
安全报告是我们和整个开源生态系统所经历的一个关键增长领域。AI模型大幅降低了识别潜在漏洞代码模式所需的技能和知识水平,同时在首次发现缺陷方面也变得更加高效。生成式AI安全报告激增的一个典型例子是Mozilla最近发布的150项修复,涉及270多个漏洞,这些修复源于Anthropic新推出的Mythos预览版进行的代码扫描。我们还看到,被誉为行业中最安全的操作系统之一的FreeBSD,通过AI发现了一个存在20年的CVE。这只是开源社区在当前浪潮中经历的众多案例中的两个。
安全报告与Spring
正如其他报告所述,与历史平均水平相比,4月份Spring披露的CVE数量出现了激增。总计我们在产品组合中披露了26个新的CVE。但这一数据并未凸显同样显著的安全报告数量增长。与历史平均水平(通常每月约6.5个新安全报告)相比,当前的接收速率呈现出大幅飙升。2026年3月,社区提交了55份新的安全报告,最终导致4月份披露了26个新的CVE。
4月份,借助新的扫描能力,我们在65个扫描项目中收到了创纪录的482份新安全报告。其中370份来自内部扫描,112份来自社区。这意味着即使没有新的扫描工具,社区报告的数量相比3月的高位仍会翻倍。尽管4月份的报告数量出现了极端峰值,但我们预计在AI驱动的报告持续涌入的情况下,报告数量在接下来几个月内不会回落至历史水平(例如,5月份社区报告为72份)。
需要注意的是,并非每份安全报告都会导致新的CVE发布。上述总数包含了许多重复或无效的发现,这些会被过滤掉(内部扫描结果中有37%被认定为重复或无效)。如前所述,我们收到来自多个来源的大量报告,以及一些对框架本身并非实际安全问题的发现。我们直接与研究人员合作,澄清每份报告的范围和影响,从而达成如何处理的共识。
我们强烈建议所有Spring用户升级至6月发布的最新版本,以应对当前披露的大量安全漏洞。尽管大多数CVE的严重程度为中低级别,但此次发布的数量之大需要特别关注。
VMware Tanzu Spring可提供帮助
我们对保障全球最流行的 JVM 应用框架安全的责任极为重视。每一份提交的安全报告均由相关项目的专家提交者进行分类和处理。团队会与报告者协作,全面了解问题——确认其是否确实存在以及修复的范围。我们还会让报告者验证我们开发的修复方案,确保其正确性。这在开源支持领域实属罕见。2024年1月至2025年9月期间,提交给 MITRE 的漏洞中仅有 2.6% 公开了概念验证(PoC)¹。这使得非维护者难以验证修复方案。作为 Spring 产品组合的唯一官方支持提供商,VMware Tanzu Spring 独具优势,能够确保安全社区与我们的修复方案之间实现这种程度的协作,使我们成为唯一能在 CVE 公开披露前发布修复方案的供应商。
Java 生态系统的变更速度持续加快。Java 每六个月发布一次新版本仅是其中一个例子,Spring Boot 依赖的许多项目甚至每两三个月就会发布新版本。AI 对安全报告和已发现漏洞的影响将进一步加速企业为满足各项合规要求所需处理的发布版本数量及其处理频率。Tanzu Spring 通过自动化升级帮助您保持安全与合规。Application Advisor 不仅提供类似 Dependabot 的依赖项升级,还能实现实际的代码升级。该工具集成至您的 CI 系统后,会基于 Spring 的最新可用版本生成拉取请求,确保您的系统及时修复并保持安全。
Spring 团队和 Tanzu 将继续通过适当的披露措施处理所有安全报告,以保障客户和社区的安全。然而,当前形势已不同以往。尽管我们预计报告数量的增加不会仅限于单月,但随着我们解决新型工具所能识别的问题,报告量预计将逐步减少。我们已观察到多源重复报告显著增加,这表明可发现的问题数量是有限的。一旦我们解决这些问题,尽管报告量会下降,但我们预计在可预见的未来不会恢复到历史常态。
您可以在 https://spring.io/security 查阅我们的任何安全公告信息。有关安全政策的更多详情,请参阅 此处。
我们建议 Tanzu Spring 客户充分利用 Spring Enterprise Repository 中的零日安全补丁,并按照常规发布节奏应用新修复方案。如需在应用补丁或升级版本方面获得更多支持,Tanzu Spring 提供专业服务和高级支持。
如果您不确定是否拥有 Spring Enterprise Repository 的访问权限或有任何疑问,请随时 联系我们。
- * *
1: https://www.tenable.com/blog/cyber-risk-lurks-in-the-vulnerability-disclosure-gaps