Репортаж от Wedoany，Компания Broadcom через своё подразделение Tanzu отправила масштабное обновление безопасности для экосистем Spring и Java в ответ на резкий рост угроз, выявляемых с помощью ИИ. Broadcom заявляет, что это крупнейшее обновление безопасности за 23-летнюю историю открытой платформы Spring, а также открыла «архитектуру чистого билда» (clean-room build architecture) для создания зависимостей Java для экосистемы Spring.

Данное обновление напрямую связано с резким ростом числа обнаруженных уязвимостей безопасности. По данным Broadcom, с марта по апрель этого года количество ежемесячных отчётов об уязвимостях, сообщаемых сообществом Spring, увеличилось на 1700%. В ответ на этот всплеск инженерная команда Spring увеличила инвестиции в анализ безопасности с помощью ИИ, включая рабочие процессы сканирования и проверки на основе передовых моделей, которые способны активно выявлять уязвимости, оценивать пути их устранения и проверять исправления во всей экосистеме. Broadcom является частью проекта Project Glasswing на базе Anthropic, запущенного ранее в этом году, который использует большие языковые модели (LLM) на основе ИИ, демонстрируя высокую эффективность в обнаружении критических уязвимостей.

Платформа Tanzu Spring также предоставляет через своё корпоративное хранилище (Enterprise Repository) доступ с нулевым днём к проверенным патчам только для CVE (Common Vulnerabilities and Exposures), которые становятся доступны до публикации в открытом доступе. Патчи проверены Broadcom и предназначены для изоляции исправлений безопасности от других изменений платформы. Broadcom также добавила, что продолжит публиковать CVE для всех версий каждого проекта Spring, поддерживаемого в открытом доступе, а также для старых версий, поддерживаемых в рамках Tanzu Spring Enterprise.

«Spring — одна из самых широко используемых платформ для разработки приложений в мире, и как её управляющий мы несём глубокую ответственность за её безопасность», — заявила в пресс-релизе Пурнима Падманабхан, вице-президент и генеральный менеджер подразделения Tanzu компании Broadcom. «Поскольку мы поддерживаем Spring и являемся единственными коммитерами, мы можем обеспечить лучшую безопасность в исходном коде для всех, кто от него зависит. Эти инвестиции касаются двух вещей, которые мы никогда не разделяем: здоровья сообщества Spring и безопасности клиентов, которые доверяют Spring ведение своего бизнеса.»

Клиенты Tanzu Spring также получат программные артефакты для Java-зависимостей с верификацией уровня три (SLSA) в цепочке поставок программного обеспечения, охватывающей полный граф транзитивных зависимостей, управляемых через Bill of Materials (BOM) Spring Boot, а также безопасные зависимости, собранные и протестированные для каждой поддерживаемой итерации Spring. В примечаниях к поддержке Broadcom пишет, что эти инвестиции направлены на предоставление клиентам Spring проверяемой цепочки поставок программного обеспечения с чистым билдом для всех поддерживаемых версий Spring, что представляет собой скачок в укреплении доверия, прозрачности и устойчивости этой платформы разработки на Java. Эта функция предоставляет клиентам проверенные зависимости для текущих версий Spring, а также для версий, достигших конца жизненного цикла, помогая снизить риски в цепочке поставок программного обеспечения, одновременно продолжая пользоваться производительностью и согласованностью модели управления зависимостями Spring Boot.

Данное обновление безопасности последовало сразу за получением платформой Broadcom Tanzu PaaS (Platform as a Service) функций безопасности, ориентированных на агентный ИИ, которые также включают более тесную интеграцию с Spring AI. Падманабхан отметила, что преимущество Spring AI заключается в способности обеспечивать согласованность и ограничения для кода, генерируемого ИИ, предотвращая дрейф и распространение кода, сохраняя при этом креативность разработчиков.

Данный материал скомпилирован платформой Wedoany. При цитировании материалов, созданных с помощью искусственного интеллекта (ИИ), необходимо обязательно указывать источник — «Wedoany». В случае выявления нарушения прав или иных проблем просим своевременно информировать нас. Сайт оперативно внесёт изменения или удалит материал.Электронная почта: news@wedoany.com