BroadcomのTanzu部門は2026年6月10日、SpringおよびJavaエコシステムへ大規模なセキュリティ投資を行い、Tanzu Spring顧客に「CVE専用パッチ」をデイゼロで提供すると明らかにしました。SpringはFortune 500企業の半数以上で使われているといいます。
背景には、AI活用の拡大で脅威と脆弱性の検出が急増し、公表から攻撃までの猶予が短いことがあります。実際に2026年3月から4月にかけて、SpringコミュニティからBroadcomへ報告された月間セキュリティアドバイザリ件数は17倍以上に増えたとしています。
同社は、Springの23年の歴史で最大規模とするオープンソース向けセキュリティ更新プログラムを公開するほか、AIによるスキャンと検証のワークフローに投資を拡大します。また、ソフトウェア供給網(サプライチェーン)対策としてSLSAレベル3準拠の仕組みをJava依存関係に適用し、Spring Boot 4.0が管理する1,768件の依存関係を含む依存関係グラフ全体のカバレッジを掲げました。
さらに全ポートフォリオで10万件以上の検証済み依存関係ビルドを提供し、Tanzu Platformなどでビルドとデプロイの対策を一括適用しやすくするとしています。今後は現行版に加えEOL(サポート終了)版も含め、全サポート対象Springバージョンで検証可能なクリーンルーム型サプライチェーンを整備し、パッチ適用の迅速化とリスク低減を進める方針です。
AI生成記事のため誤りを含む場合があります
PRTIMES
PRTIMES
Broadcom、SpringおよびJavaエコシステムのセキュリティへの投資を拡大し、AIを駆使した脅威からお客様を保護