我们已发布针对 Eclipse 的 STS 4.16.1 和 Spring VSCode 扩展 1.40.0 来解决以下 CVE 报告

• CVE-2022-31691：通过 STS4 Eclipse 和 VSCode 扩展中的 YAML 编辑器进行远程代码执行

请查看 CVE 报告中的信息并立即升级。

Eclipse：将 STS 升级到 4.16.1 VSCode：将 Spring Boot Tools 升级到 1.40.0 VSCode：将 Concourse CI Pipeline Editor 升级到 1.40.0 VSCode：将 Bosh Editor 升级到 1.40.0 VSCode：将 Cloudfoundry Manifest YML Support 升级到 1.40.0

请访问 Spring Tools 页面查找最新版本

我很高兴地宣布 Spring Modulith 0.1 的第二个里程碑版本现已可用。此版本包含一些小的错误修复和一些社区对参考文档的贡献。在此处 查看 此版本中包含的更改的完整概述。有关该项目的常规介绍，请参阅 发布博客文章。

目前的计划是在 Spring Boot 的第二个 RC 版本之后发布 0.1 RC1 版本，然后紧随 Boot 的 GA 版本发布 GA 版本。

我代表团队和所有做出贡献的人，很高兴地宣布 Spring Authorization Server 0.4.0-RC1 正式发布。

您可以从 repo.spring.io 里程碑存储库使用模块坐标下载它

implementation 'org.springframework.security:spring-security-oauth2-authorization-server:0.4.0-RC1'

请参阅 发行说明 以获取完整详情。

要开始使用 Spring Authorization Server，请参阅参考文档的 入门 章节和 示例，以熟悉设置和配置。

我们很乐意收集您的……

我代表团队和所有做出贡献的人，很高兴地宣布 Spring Authorization Server 1.0.0-RC1 正式发布。

您可以从 repo.spring.io 里程碑存储库使用模块坐标下载它

implementation 'org.springframework.security:spring-security-oauth2-authorization-server:1.0.0-RC1'

请参阅 发行说明 以获取完整详情。

要开始使用 Spring Authorization Server，请参阅参考文档的 入门 章节和 示例，以熟悉设置和配置。

我们很乐意收集您的……

2022年10月31日发布的 Spring Security 5.6.9 和 5.7.5 包含针对 CVE-2022-31692 的修复程序，该程序影响 `AuthorizationFilter`。鼓励用户尽快更新。

2022年10月31日发布的 Spring Security 5.6.9 和 5.7.5 包含针对 CVE-2022-31690 的修复程序，该程序影响 spring-security-oauth2-client 中授权范围的映射。鼓励用户尽快更新。

影响

已应用缓解措施的用户应注意以下影响

当授权服务器 (AS) 使用空或缺少的 `scope` 参数响应 OAuth2 访问令牌响应时，不会将任何授权范围映射到主体（当前用户）。

如果您受到此漏洞的影响，当 AS 不返回范围时，用户将不会被授予任何以 `SCOPE_` 开头的权限。只有特殊的权限 `ROLE_USER`……

我代表团队和所有做出贡献的人，高兴地宣布 Spring Security 5.7.5 和 5.6.9 现已可用。在这两种情况下，这些版本都包含错误修复。

要了解更多信息，请访问 5.7.5 和 5.6.9 发行摘要。

项目站点 | 参考 | 帮助

嗨，Spring 粉丝们！欢迎来到另一期《本周 Spring》！你们最近怎么样？我希望你们一切顺利，如果你们庆祝万圣节的话，万圣节也过得很愉快。我很好。我现在身处阳光明媚的马来西亚吉隆坡，正在享用美味的食物，并与很棒的人们一起闲逛。明天，我将前往马来西亚槟城进行一些旅游，然后我将回到更注重代码的乐趣：我将在 11 月 11 日（也就是短短十天后！）在**吉隆坡** 举办一个开发者活动，介绍 Spring Boot 3 的最新动态，所以请加入我！

此外，我刚刚加入了 *Mastodon*——一个去中心化且开源的 Twitter；当然，我不会离开 Twitter，但我非常乐意在那里结交新朋友并壮大社区：@[email protected]……

我代表社区，高兴地宣布 Spring Cloud 2022.0 发布列车的候选版本 1 (RC1) 今天可用。可以在 Spring 里程碑 存储库中找到该版本。您可以查看 2022.0 发行说明以获取更多信息。

2022.0.0 发布列车的显著变化

在此处查看所有已关闭的问题 此处。

Spring Cloud Function

• 可观察性和原生提示的更新

Spring Cloud OpenFeign

• 添加了对目标 URL 刷新（#710）的支持
• 添加了对 LoadBalancer X-Forwarded Headers（#748）的支持
• 将 Jackson 自动配置设置为默认启用（#476）
• 删除了弃用项并调整了 Feign 中的 API 更改（#768）
……