MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS . En tant que principal contributeur et responsable de Spring, Broadcom renforce ses investissements dans la détection proactive et la remédiation des vulnérabilités, la fourniture prioritaire de correctifs de sécurité liés aux CVE pour les versions actuelles et historiques, ainsi que dans un support s’appuyant sur des dépendances Java reconstruites dans un environnement sécurisé et indépendant (clean-room build).
Broadcom Inc. (NASDAQ : AVGO), acteur mondial des technologies qui conçoit, développe et fournit des solutions de semi-conducteurs et de logiciels d’infrastructure, annonce aujourd’hui d’importants investissements en matière de sécurité au sein de l’écosystème Spring et Java, sur lequel s’appuie plus de la moitié des entreprises du Fortune 500.
Afin d’aider la communauté Spring à faire face à une hausse sans précédent des menaces de sécurité détectées grâce à l’IA, l’activité Tanzu de Broadcom a publié la plus importante série de mises à jour de sécurité Spring en open source de toute l’histoire du framework, qui fête cette année ses 23 ans. En parallèle, Broadcom étend à l’écosystème Spring son architecture de compilation sécurisée (« clean-room build »), déjà au cœur de Bitnami, afin de produire les dépendances Java nécessaires à cet environnement. Ces investissements visent à préserver l’intégrité de Spring et à préparer les clients de Broadcom à la montée continue des menaces de sécurité facilitées par l’IA.
Les récentes initiatives fédérales visant à créer une plateforme nationale de coordination et de priorisation de la remédiation des vulnérabilités logicielles mettent en lumière un constat essentiel : la détection des vulnérabilités s’accélère, tandis que le principal goulot d’étranglement se situe désormais au niveau de la vitesse de correction.
« Spring est l’un des frameworks de développement applicatif les plus largement adoptés dans le monde et, en tant que mainteneurs du projet, nous avons une responsabilité majeure en matière de sécurité », déclare Purnima Padmanabhan, Vice President et General Manager de la division Tanzu chez Broadcom. « Parce que nous assurons la maintenance de Spring et sommes les seuls à valider les contributions au projet, nous sommes en mesure de renforcer sa sécurité à la source, au bénéfice de tous ceux qui en dépendent. Cet investissement répond à deux priorités indissociables : la santé de la communauté Spring et la sécurité des entreprises qui s’appuient sur Spring pour faire fonctionner leurs activités. Associée aux constructions de conteneurs auto-cicatrisantes (self-healing container builds) fournies par Tanzu Buildpacks au sein de Tanzu Platform, cette approche permet aux développeurs Java de maintenir des applications Spring sécurisées et à jour, du code source jusqu’aux conteneurs. »
Les avancées récentes des modèles fondamentaux ont entraîné une explosion du nombre de vulnérabilités de sécurité nouvellement détectées, tout en réduisant considérablement le délai entre leur divulgation et leur exploitation potentielle. Au sein de la seule communauté Spring, le nombre d’avis de sécurité signalés à Broadcom chaque mois a augmenté de plus de 1 700 % entre mars et avril 2026.
Pour répondre à cette évolution, les équipes d’ingénierie Spring de Broadcom ont considérablement renforcé leurs investissements dans l’analyse de sécurité assistée par l’IA. Ces travaux s’appuient notamment sur des modèles de dernière génération pour automatiser l’identification proactive des vulnérabilités, évaluer les différentes options de remédiation et valider les correctifs à travers l’ensemble de l’écosystème de dépendances logicielles.
Dans le cadre de cet investissement élargi visant à renforcer la sécurité de l’écosystème Spring et de ses dépendances, les clients de Tanzu Spring bénéficient désormais :
d’une chaîne d’approvisionnement logicielle sécurisée pour les dépendances Java, validée selon le niveau 3 du référentiel SLSA (Supply-chain Levels for Software Artifacts) ;
d’une couverture de l’ensemble du graphe de dépendances transitives géré par le Bill of Materials de Spring Boot ;
de milliers de dépendances sécurisées, compilées et testées pour chaque version prise en charge de Spring. À lui seul, Spring Boot 4.0 gère 1 768 dépendances ; sur l’ensemble du portefeuille actuellement supporté, cela représente plus de 100 000 compilations de dépendances validées.
Cet investissement majeur, qui permet aux clients Spring de bénéficier d’une chaîne d’approvisionnement logicielle vérifiable et construite dans un environnement isolé (clean room) pour toutes les versions prises en charge de Spring, constitue une avancée importante pour renforcer la confiance, la transparence et la résilience de l’une des plateformes de développement d’applications Java les plus utilisées au monde.
Proposée dans le cadre de l’offre VMware Tanzu Spring de Broadcom, cette capacité donne accès à des dépendances validées aussi bien pour les versions actuelles de Spring que pour celles arrivées en fin de vie. Les entreprises peuvent ainsi réduire les risques liés à leur chaîne d’approvisionnement logicielle tout en continuant à bénéficier de la productivité et de la cohérence offertes par le modèle de gestion des dépendances de Spring Boot.
En complément de ces initiatives, Tanzu Spring permet désormais à ses clients d’accéder, dès leur publication, à des versions de correctifs validés dédiées exclusivement aux vulnérabilités et expositions courantes (CVE) via le Spring Enterprise Repository, avant même leur diffusion dans les projets open source.
Ces correctifs ciblés isolent exclusivement la correction de sécurité de tout autre changement applicatif, permettant ainsi aux entreprises de remédier plus rapidement aux vulnérabilités et de réduire leur fenêtre d’exposition aux risques. Grâce aux dépôts privés d’artefacts de Tanzu Spring, les clients ont l’assurance d’utiliser les correctifs officiels validés par Broadcom, en tant que mainteneur de l’écosystème Spring.
« En tant que mainteneur de l’écosystème Spring, Broadcom occupe une position unique pour fournir les mécanismes de sécurité fondamentaux nécessaires aux systèmes critiques développés avec Spring », déclare James Governor, fondateur et analyste principal chez RedMonk.
