“O Spring é uma das estruturas de desenvolvimento de aplicativos mais amplamente adotadas no mundo e, como seu administrador, temos uma profunda responsabilidade por sua segurança”, disse Purnima Padmanabhan, vice-presidente e gerente geral da Divisão Tanzu da Broadcom. “Como mantemos o Spring e somos os únicos comprometidos, podemos protegê-lo melhor na fonte para todos que dependem dele. Este investimento envolve duas coisas que nunca separaremos: a saúde da comunidade Spring e a segurança de nossos clientes que confiam no Spring para administrar seus negócios.”
A empresa também anunciou que, à medida que o número de avisos de segurança relatados pela comunidade explodiu, sua equipe de engenharia “escalou significativamente” o uso de ferramentas de IA para ajudá-la a identificar vulnerabilidades, avaliar caminhos de remediação e validar correções em todo o ecossistema de dependência. Embora a Broadcom tenha se recusado a especificar os modelos de IA que está usando na caça aos bugs, ela é membro do Projeto Glasswing da Anthropic, então Claude Mythos provavelmente faz parte do esforço.
Somente para clientes pagantes
Uma vantagem disponível apenas para clientes corporativos do Tanzu Spring é o acesso de dia zero a versões validadas somente de patch CVE por meio do Spring Enterprise Repository, antes de serem lançadas em código aberto. Esses patches isolam a correção de segurança de quaisquer outras alterações para permitir que os clientes façam a correção mais rapidamente.
“Ao utilizar os repositórios de artefatos privados do Tanzu Spring, os clientes podem ter certeza de que os artefatos são os patches oficiais e validados da Broadcom, o administrador do Spring”, disse a Broadcom em seu anúncio, acrescentando que continuará a emitir CVEs para todas as versões de cada projeto Spring com suporte de código aberto, bem como versões mais antigas com suporte empresarial do Tanzu Spring.
