大家好，Spring 的爱好者们！欢迎收听Spring 本周动态的最新一期！自从我们上次交流以来，这真是忙碌的一周！我飞往佐治亚州亚特兰大，参加了我疫情后的第一次线下活动——Devnexus 2022。这次经历真是太棒了！希望我带回的纪念品只有美好的回忆，而不是新冠。很高兴看到如此多展露的笑脸。非常感谢 Devnexus 的邀请和举办的精彩活动。能够回归，我深感荣幸。

现在，让我们废话不多说，直接进入本周动态回顾。

• A Bootiful Podcast：云技术大师 Tiffany Jernigan
• Jacky Chan 在 Twitter 上发文：“我新开发的开源工具 httpx，提供 CLI 和 IDE 插件，用于测试 REST API、GraphQL、gRPC、RSocket、Kafka 等服务，支持 HTTP DSL https://#/jkvJG2syff JetBrains/Neovim 插件已全部就绪。支持 @java 和 @graalvm” / Twitter
• Ngrok Spring Boot Starter - 轻松实现隧道连接
• Spring Boot 与 Drools 引擎。在本篇博客中，我们将探讨 Spring 如何与 Drools 引擎集成。| CodeX
• Spring Data 2021.2.0-RC1、2021.1.4 和 2021.0.11 已发布
• Spring Framework 5.3.19 和 5.2.21 现已发布
• …

大家好，Spring 的爱好者们！在本期节目中，Josh Long (@starbuxman) 将谈论他疫情爆发以来参加的第一次线下大会——精彩绝伦的 Devnexus 2022 大会，并采访他的同事、老师、朋友以及 Kubernetes 领域的传奇人物 Tiffany Jernigan (@tiffanyfayj)。

目录

• 概述
• 这会影响我的应用程序吗？
• 重新评估您的数据绑定方法

概述

在调查 Spring Framework RCE 漏洞 CVE-2022-22965 和建议的解决方法时，我们意识到 WebDataBinder 上的 disallowedFields 配置设置不直观且没有清晰的文档。我们已经修复了这个问题，但为了安全起见，我们还是决定发布一个后续的 CVE，以确保应用程序开发人员收到警报并有机会审查他们的配置。

• CVE-2022-22968: Spring Framework 数据绑定规则漏洞

我们已经发布了包含修复的 Spring Framework 5.3.19 和 5.2.21。Spring Boot 2.6.7 和 2…

Spring 本周动态 - Devnexus 特刊

大家好，Spring 的爱好者们！欢迎收听Spring 本周动态的最新一期——我正在参加疫情后的第一次线下活动：Devnexus！太棒了！！好吧，严格来说，在我写这篇文章时我还在旧金山，但我明天就会飞往佐治亚州亚特兰大参加……Devnexus！如果你也在那里，希望你能和我联系！

来自 Spring、Tanzu 及相关社区的朋友、同事和社区成员也将参加！以下是我希望与之合影留念以及希望观看他们演讲的一些朋友！

• Glenn Renfro
• Adib Saikali
• Joe Grandja
• Whitney Lee
• Hillmer Chona
• Jonatan Ivanov
• Josh Cummings
• Alberto C. Rios
• Simon Brown
…

大家好，Spring 的爱好者们！在本期 A Bootiful Podcast 中，Josh Long (@starbuxman) 将采访 GraphQL Java 项目的创始人兼负责人、Atlassian 工程师以及 Spring GraphQL 的联合创始人 Andi Marek (@andimarek)。

大家好，Spring 的爱好者们！欢迎收听Spring 本周动态的最新一期！我已回到家，结束了夏威夷群岛的旅程。很高兴能回到家。

首先，有一项安全漏洞。我们已经发布了如何缓解该漏洞的指导，以及包含默认缓解措施的 Spring Framework 和 Spring Boot 新版本。请参阅以下链接了解更多信息。

• Spring Framework RCE，提前公告
• Spring Framework RCE，缓解方案备选
• Spring Cloud Function 的 CVE 报告已发布

现在，让我们回到您熟悉的Spring 本周动态常规节目。

• A Bootiful Podcast：Kubernetes 联合创始人兼 VMware 研发副总裁 Craig McLuckie
• 博客：您的集群是否已准备好迎接 v1.24？
…

昨天我们 宣布了一项 Spring Framework RCE 漏洞 CVE-2022-22965，其中将 Apache Tomcat 列为几个先决条件之一。Apache Tomcat 团队已发布版本 10.0.20、9.0.62 和 8.5.78，这些版本都关闭了 Tomcat 端的攻击向量。虽然该漏洞本身并非 Tomcat 的问题，但在实际情况中，能够选择多种升级路径以提供灵活性和分层保护非常重要。

升级到 Spring Framework 5.3.18+ 或 5.2.20+ 仍然是我们的主要建议，不仅因为这解决了根本原因……

大家好，Spring 的爱好者们！在本期节目中，我们大胆地介绍 YugabyteDB，这是一个“就是能用”的分布式数据库。它是一个感觉像 PostgreSQL 但能像 Apache Cassandra 一样扩展的数据库。

更新

• [04-13] 发布了关于建议的变通方法中“disallowedFields”的后续博客文章“数据绑定规则漏洞 CVE-2022-22968”
• [04-08] Snyk 宣布 Glassfish 和 Payara 存在另一个攻击向量。另请参阅相关的 Payara 即将发布的公告
• [04-04] 更新了我是否受到影响，改进了部署要求的描述
• [04-01] 更新了我是否受到影响，增加了额外说明
• [04-01] 更新了 Apache Tomcat 升级和 Java 8 降级的建议的变通方法部分
• [04-01] 发布了 “缓解方案备选” 跟进博客文章，宣布 Apache Tomcat 发布了版本 10.0.20、9.0.62 和 8.5.78……