Broadcom kondigt de grootste reeks Spring-securityupdates aan in de 23-jarige geschiedenis van het framework. De Tanzu-divisie reageert op een explosieve toename van door AI ontdekte kwetsbaarheden, biedt Tanzu Spring-klanten day zero-toegang tot CVE-only patches en introduceert een SLSA Level 3-gecertificeerde softwaretoeleveringsketen voor het volledige Java-ecosysteem.

Aanleiding is een explosieve toename van door AI ontdekte kwetsbaarheden: het aantal maandelijkse security advisories steeg met meer dan 1.700 procent van maart naar april 2026. Purnima Padmanabhan, VP en General Manager van de Tanzu Division bij Broadcom, stelt: “Spring is een van de meest gebruikte frameworks voor applicatieontwikkeling ter wereld, en als beheerder ervan dragen wij een grote verantwoordelijkheid voor de beveiliging ervan.”

Het Spring-framework is de basis voor applicaties bij meer dan de helft van de Fortune 500-bedrijven. Een recente kwetsbaarheid zoals CVE-2026-22737, een path traversal-bug in meerdere Spring Framework-versies, toont hoe acuut de dreiging is. Broadcom breidde ook zijn clean-room build-architectuur, de basis van Bitnami, uit naar alle Java-afhankelijkheden binnen het Spring-ecosysteem.

Day zero patches en supply chain-beveiliging

Tanzu Spring-klanten krijgen voortaan day zero-toegang tot gevalideerde CVE-only patches via de Spring Enterprise Repository, nog vóór deze naar open source gaan. CVE-only patches isoleren de beveiligingspatch van andere wijzigingen, wat sneller herstel mogelijk maakt en het blootstellingsvenster verkleint.

Klanten krijgen ook toegang tot een SLSA Level 3-gecertificeerde softwaretoeleveringsketen voor Java-afhankelijkheden. Spring Boot 4.0 beheert alleen al 1.768 dependencies; over het volledige ondersteunde portfolio zijn dat meer dan 100.000 gevalideerde dependency builds. Spring Framework 6.2 en Spring Boot 3.5 bereiken op 30 juni 2026 hun end-of-life, wat de timing van deze updates extra relevant maakt.

Tip: Broadcom brengt veilige AI-agentomgeving naar VMware Tanzu