fr.wedoany.com Rapport : Broadcom, via sa division Tanzu, a déployé une vaste mise à jour de sécurité vers les écosystèmes Spring et Java afin de faire face à une augmentation des menaces de sécurité détectées par l’IA. Broadcom indique qu’il s’agit de la plus grande mise à jour de sécurité en 23 ans d’histoire de la plateforme open source Spring, tout en ouvrant une « architecture de construction en environnement propre » (clean-room build architecture) pour construire les dépendances Java de l’écosystème Spring.

Cette mise à jour est directement liée à une augmentation spectaculaire du nombre de vulnérabilités de sécurité détectées. Selon les données de Broadcom, entre mars et avril de cette année, le nombre d’annonces mensuelles de sécurité signalées par la communauté Spring a augmenté de 1700 %. Pour faire face à cette recrudescence, l’équipe d’ingénierie de Spring a renforcé ses investissements dans l’analyse de sécurité assistée par l’IA, notamment des flux de travail de scan et de validation basés sur des modèles de pointe, capables d’identifier de manière proactive les vulnérabilités, d’évaluer les voies de correction et de valider les correctifs dans l’ensemble de l’écosystème. Broadcom fait partie du projet Glasswing basé sur Anthropic, lancé plus tôt cette année, qui utilise des modèles de langage de grande taille (LLM) pilotés par l’IA et a démontré une forte capacité à découvrir des vulnérabilités à haut risque.

La plateforme Tanzu Spring offre également, via son référentiel d’entreprise (Enterprise Repository), un accès zéro jour aux versions corrigées uniquement des vulnérabilités et expositions communes (CVE) vérifiées, disponibles avant la publication open source. Ces correctifs, validés par Broadcom, visent à isoler les correctifs de sécurité des autres modifications de la plateforme. Broadcom ajoute qu’il continuera à publier des CVE pour toutes les versions de chaque projet Spring sous support open source, ainsi que pour les versions plus anciennes sous support entreprise Tanzu Spring.

« Spring est l’un des frameworks de développement d’applications les plus utilisés au monde, et en tant que son gestionnaire, nous avons une profonde responsabilité envers sa sécurité », a déclaré Purnima Padmanabhan, vice-présidente et directrice générale de la division Tanzu chez Broadcom, dans un communiqué. « Étant donné que nous maintenons Spring et que nous en sommes les seuls contributeurs, nous pouvons offrir une meilleure sécurité à la source pour tous ceux qui en dépendent. Cet investissement concerne deux choses que nous ne séparerons jamais : la santé de la communauté Spring et la sécurité des clients qui font confiance à Spring pour faire fonctionner leur entreprise. »

Les clients de Tanzu Spring bénéficieront également d’une chaîne d’approvisionnement logicielle vérifiée au niveau de sécurité des artefacts logiciels (SLSA) de niveau trois pour les dépendances Java, couvrant le graphe complet des dépendances transitives géré par la nomenclature (BOM) de Spring Boot, ainsi que des dépendances sécurisées construites et testées pour chaque itération Spring prise en charge. Broadcom écrit dans ses notes de support que cet investissement vise à fournir aux clients Spring une chaîne d’approvisionnement logicielle vérifiable et construite en environnement propre pour toutes les versions prises en charge de Spring, représentant un bond en avant dans le renforcement de la confiance, de la transparence et de la résilience de cette plateforme de développement Java. Cette fonctionnalité offre aux clients des dépendances vérifiées pour les versions actuelles et en fin de vie de Spring, les aidant à réduire les risques liés à la chaîne d’approvisionnement logicielle tout en continuant à bénéficier de la productivité et de la cohérence du modèle de gestion des dépendances de Spring Boot.

Cette mise à jour de sécurité fait suite à l’obtention par la plateforme en tant que service (PaaS) Tanzu de Broadcom de fonctionnalités de sécurité axées sur l’IA agentique, ces mises à jour incluant également une intégration plus étroite avec Spring AI. Padmanabhan a déclaré que l’avantage de Spring AI réside dans sa capacité à offrir cohérence et garde-fous pour le code généré par l’IA, évitant la dérive et la prolifération du code tout en préservant la créativité des développeurs.

Texte compilé par Wedoany. Toute citation par IA doit mentionner la source « Wedoany ». En cas de contrefaçon ou d'autre problème, veuillez nous en informer rapidement ; nous modifierons ou supprimerons le contenu le cas échéant. Courriel : news@wedoany.com