文章核心观点 博通公司作为Spring框架的守护者，宣布对Spring和Java生态系统进行重大安全投资，以应对AI检测到的安全威胁激增，并通过提供商业优先的补丁、洁净室构建的依赖库以及增强的软件供应链安全，帮助客户（包括超过一半的财富500强公司）加速修复漏洞并降低风险[1][2][4] 安全威胁背景与挑战 - 联邦政府近期行动建立国家信息交换中心以协调和优先处理软件漏洞修复，突显了核心挑战：威胁发现正在加速，修复速度已成为瓶颈[3] - 基础模型的进步导致新发现的安全漏洞激增，同时漏洞披露后的可利用时间窗口正在缩短[4] - 仅Spring社区向博通报告的月度安全公告数量，从2026年3月到4月就增加了超过1700%[4] 博通的投资与安全举措 - 博通的Tanzu业务发布了Spring 23年历史上最大规模的开源安全更新集[2] - Spring工程团队大幅增加了对高级AI辅助安全分析的投资，包括基于前沿模型的扫描和验证工作流，以主动识别漏洞、评估修复路径并验证整个依赖生态系统中的修复[4] - 将经过验证的洁净室构建架构（Bitnami的基础）扩展到为整个Spring生态系统构建Java依赖项[2] - 提供跨越完整传递依赖关系图的覆盖，由Spring Boot材料清单管理，Spring Boot 4.0单独管理1,768个依赖项，在整个支持的产品组合中，总计超过100,000个经过验证的依赖构建[6] 针对企业客户的新服务与能力 - Tanzu Spring客户零日访问补丁：通过Spring企业仓库，在补丁发布给开源之前，为零日访问经过验证的、仅包含CVE（常见漏洞与暴露）的补丁程序发布，隔离安全修复与其他变更，使客户能更快修复，减少暴露窗口[5] - 安全的Java软件供应链：为客户提供安全Spring库的认证来源、针对当前版本和旧企业支持版本的商业优先补丁发布、Java依赖二进制文件的访问、通过Spring Application Advisor进行自动化确定性升级、用于治理和安全的独家Tanzu Spring组件、24x7支持与实践专业知识、对Spring团队的访问权限，以及经过SLSA 3级验证的Java依赖项安全软件供应链[6] - 加速应用补丁：提供能力帮助客户评估其应用程序资产（源代码和运行中的应用程序），并确定性地推荐和实施升级，例如通过Tanzu Platform、Tanzu Build Service和buildpacks来更好地保护Java应用程序的构建和部署，并让单个修复程序能在整个应用程序组合中传播[8] 投资的战略意义 - 这项广泛的投资为Spring客户在所有受支持的Spring版本中提供了一个洁净室构建、可验证的软件供应链，在加强全球最广泛采用的Java应用程序开发平台之一的信任、透明度和韧性方面实现了飞跃[7] - 该能力为客户提供了跨当前版本和已终止支持的Spring版本的经过验证的依赖项，帮助客户降低软件供应链风险，同时继续受益于Spring Boot依赖关系管理模型的生产力和一致性[7]