Broadcom veröffentlicht größtes Sicherheitsupdate für Spring und Java_Weltnachrichten

Broadcom veröffentlicht größtes Sicherheitsupdate für Spring und Java

2026-06-09 16:45

Merken

de.wedoany.com-Bericht: Broadcom hat über seine Geschäftseinheit Tanzu ein massives Sicherheitsupdate für das Spring- und Java-Ökosystem veröffentlicht, um der durch KI-gesteuerte Erkennung ausgelösten Zunahme von Sicherheitsbedrohungen zu begegnen. Broadcom bezeichnet dies als das größte Sicherheitsupdate in der 23-jährigen Geschichte der Open-Source-Plattform Spring und hat gleichzeitig eine „Clean-Room-Build-Architektur" freigegeben, um Java-Abhängigkeiten für das Spring-Ökosystem zu erstellen.

Broadcom-Logo

Dieses Update steht in direktem Zusammenhang mit dem starken Anstieg der Anzahl erkannter Sicherheitslücken. Laut Broadcom-Daten stieg die Anzahl der monatlich von der Spring-Community gemeldeten Sicherheitshinweise zwischen März und April dieses Jahres um 1700 %. Um diesem Anstieg zu begegnen, hat das Spring-Engineering-Team seine Investitionen in KI-gestützte Sicherheitsanalysen erhöht, darunter Scan- und Validierungs-Workflows auf Basis modernster Modelle, die Schwachstellen proaktiv identifizieren, Reparaturpfade bewerten und Korrekturlösungen für das gesamte Ökosystem validieren können. Broadcom ist Teil des Anfang dieses Jahres gestarteten, auf Anthropic basierenden Project Glasswing, das durch den Einsatz KI-gesteuerter großer Sprachmodelle (LLMs) eine hohe Leistungsfähigkeit bei der Erkennung kritischer Schwachstellen zeigt.

Die Tanzu Spring-Plattform bietet außerdem über ihr Enterprise Repository einen Zero-Day-Zugriff auf verifizierte CVE-Only-Patch-Versionen (Common Vulnerabilities and Exposures), die bereits vor der Open-Source-Veröffentlichung verfügbar sind. Die Patches wurden von Broadcom verifiziert und sollen Sicherheitskorrekturen von anderen Änderungen der Plattform isolieren. Broadcom ergänzte, dass es weiterhin CVE für alle Versionen jedes unter Open-Source-Unterstützung stehenden Spring-Projekts sowie für ältere Versionen unter Tanzu Spring Enterprise Support veröffentlichen werde.

„Spring ist eines der am weitesten verbreiteten Anwendungsentwicklungs-Frameworks der Welt, und als dessen Verwalter tragen wir eine tiefe Verantwortung für seine Sicherheit", erklärte Purnima Padmanabhan, Vice President und General Manager der Broadcom Tanzu-Sparte, in einer Stellungnahme. „Da wir Spring warten und die einzigen Committer sind, können wir an der Quelle eine bessere Sicherheitsgarantie für alle bieten, die darauf angewiesen sind. Diese Investition betrifft zwei Dinge, die wir niemals trennen werden: die Gesundheit der Spring-Community und die Sicherheit der Kunden, die Spring vertrauen, um ihr Geschäft zu betreiben."

Tanzu Spring-Kunden erhalten zudem eine Software-Lieferkette mit SLSA-Level-3-Verifizierung (Supply Chain Levels for Software Artifacts) für Java-Abhängigkeiten, die den vollständigen transitiven Abhängigkeitsgraphen abdeckt, der durch die Spring Boot-Stückliste (BOM) verwaltet wird, sowie sicherheitsgeprüfte Abhängigkeiten, die für jede unterstützte Spring-Iteration erstellt und getestet wurden. Broadcom schrieb in einem Support-Hinweis, dass diese Investition darauf abziele, Spring-Kunden eine saubere, verifizierbare Software-Lieferkette für alle unterstützten Spring-Versionen bereitzustellen, was einen Sprung in der Stärkung von Vertrauen, Transparenz und Resilienz dieser Java-Entwicklungsplattform darstelle. Diese Funktion bietet Kunden verifizierte Abhängigkeiten für aktuelle und nicht mehr unterstützte Spring-Versionen und hilft ihnen, das Risiko der Software-Lieferkette zu reduzieren, während sie weiterhin von der Produktivität und Konsistenz des Spring Boot-Abhängigkeitsverwaltungsmodells profitieren.

Dieses Sicherheitsupdate folgt unmittelbar auf die Einführung von Sicherheitsfunktionen mit Fokus auf agentische KI in der Broadcom Tanzu Platform as a Service (PaaS), die auch eine engere Integration von Spring AI umfassen. Padmanabhan erklärte, dass der Vorteil von Spring AI darin liege, Konsistenz und Leitplanken für KI-generierten Code zu bieten, Code-Drift und -Ausbreitung zu vermeiden und gleichzeitig die Kreativität der Entwickler zu bewahren.

Dieser Artikel wurde von Wedoany übersetzt und bearbeitet. Bei jeglicher Zitierung oder Nutzung durch künstliche Intelligenz (KI) ist die Quellenangabe „Wedoany“ zwingend vorgeschrieben. Sollten Urheberrechtsverletzungen oder andere Probleme vorliegen, bitten wir Sie, uns unverzüglich zu benachrichtigen. Wir werden den entsprechenden Inhalt umgehend anpassen oder löschen.