Broadcom kondigt de grootste reeks Spring-securityupdates aan in de 23-jarige geschiedenis van het framework. De Tanzu-divisie reageert op een explosieve toename van door AI ontdekte kwetsbaarheden, biedt Tanzu Spring-klanten day zero-toegang tot CVE-only patches en introduceert een SLSA Level 3-gecertificeerde softwaretoeleveringsketen voor het volledige Java-ecosysteem.
Aanleiding is een explosieve toename van door AI ontdekte kwetsbaarheden: het aantal maandelijkse security advisories steeg met meer dan 1.700 procent van maart naar april 2026. Purnima Padmanabhan, VP en General Manager van de Tanzu Division bij Broadcom, stelt: “Spring is een van de meest gebruikte frameworks voor applicatieontwikkeling ter wereld, en als beheerder ervan dragen wij een grote verantwoordelijkheid voor de beveiliging ervan.”
Het Spring-framework is de basis voor applicaties bij meer dan de helft van de Fortune 500-bedrijven. Een recente kwetsbaarheid zoals CVE-2026-22737, een path traversal-bug in meerdere Spring Framework-versies, toont hoe acuut de dreiging is. Broadcom breidde ook zijn clean-room build-architectuur, de basis van Bitnami, uit naar alle Java-afhankelijkheden binnen het Spring-ecosysteem.
Day zero patches en supply chain-beveiliging
Tanzu Spring-klanten krijgen voortaan day zero-toegang tot gevalideerde CVE-only patches via de Spring Enterprise Repository, nog vóór deze naar open source gaan. CVE-only patches isoleren de beveiligingspatch van andere wijzigingen, wat sneller herstel mogelijk maakt en het blootstellingsvenster verkleint.
Klanten krijgen ook toegang tot een SLSA Level 3-gecertificeerde softwaretoeleveringsketen voor Java-afhankelijkheden. Spring Boot 4.0 beheert alleen al 1.768 dependencies; over het volledige ondersteunde portfolio zijn dat meer dan 100.000 gevalideerde dependency builds. Spring Framework 6.2 en Spring Boot 3.5 bereiken op 30 juni 2026 hun end-of-life, wat de timing van deze updates extra relevant maakt.
Tip: Broadcom brengt veilige AI-agentomgeving naar VMware Tanzu