去年秋天，发现了影响 Spring Data REST 的安全漏洞。我们修复了受影响的模块并发布了 CVE。我们最近看到了一些关于此问题的新闻，导致了一些混淆。以下是详情

tl;dr

• 存在一个安全漏洞，允许在 Spring Data REST 2.6.8 和 3.0.0 之前的版本中执行任意代码。
• 此漏洞已在以下版本中修复

-- Spring Data REST 2.6.9 (Ingalls SR9，2017 年 10 月 27 日)，包含在 Spring Boot 1.5.9（2017 年 10 月 28 日）中。-- Spring Data REST 3.0.1 (Kay SR1，2017 年 10 月 27 日)，包含在 Spring Boot 2.0 M6（11 月…

Spring Security SAML 项目自近 9 年前成立以来一直是 Spring 生态系统不可或缺的一部分。这个至关重要的项目诞生于 Vladimír Schäfer 的巨大努力和贡献。我想借此机会亲自感谢 Vladimír 和我们优秀的社区所付出的辛勤工作。如果没有他们所有人的努力，这个项目将不会是今天的样子。

Vladimír、我们优秀的社区和 Spring 工程团队计划联手改进 Spring Security SAML，以实现以下主要目标

• 确保所有依赖项都更新到最新版本

• 确保所有 Spring Security API 都不公开任何依赖项 API

• 将 Spring Security SAML 从扩展升级到 Spring Security 本身

…

您好，Spring 粉丝，欢迎来到另一期《本周 Spring》！在我写这篇文章的时候，是悉尼时间清晨，我一直在拜访 Pivotal 的一些优秀客户，现在我正在准备飞往迪拜的航班，六个小时后到达，在那里我将拜访更多 Pivotal 的优秀客户。本周晚些时候，我将前往印度班加罗尔参加 精彩的 Agile India 大会，然后——下周初，星期二——我将前往马萨诸塞州波士顿参加 首届 SpringOne Tour 活动。如果您在附近，请不要犹豫，随时与我联系，一如既往！

本周，我们有很多……

本周，软件界发现 影响多个实现的 SAML 漏洞 被发现。如果您使用 Spring Security SAML 的默认设置，则不会受到此漏洞的影响。

Spring Security SAML 使用的基础实现是 Shibboleth 的 OpenSAML Java 库。OpenSAML Java 实现未列在包含漏洞的库中（Shibboleth openSAML C++ 易受攻击）。但是，如果 ParserPool 已自定义，则您可能会受到影响。

不安全的配置

具体来说，如果应用程序显式设置 BasicParserPool 或 StaticBasicParserPool 使 ignoreComments = false，则容易受到…

您好，Spring 粉丝，欢迎来到另一期《Spring 提示》！这是一个超级令人兴奋的一周！Spring Boot 2.0 即将到来！请关注 Spring Initializr，否则您可能会错过它！:D

今天，我在 Okta Iterate 大会上与使用 Spring 和 Okta 的开发人员进行了交流，感谢 我的朋友 Matt Raible。亮点？我遇到了 Jeff Atwood，Stack Overflow 的联合创始人！

明天，我将开始未来两周的旋风之旅。首先，前往苏格兰格拉斯哥；然后是澳大利亚悉尼；然后是迪拜；然后是印度班加罗尔（参加 2018 年 Agile India）；然后前往马萨诸塞州波士顿，参加 3 月 13 日的 SpringOne Tour 活动。如果您在这些地方中的任何一个地方，请随时与我联系……

这是准备 Spring Cloud Stream 2.0.0.RELEASE 的一系列预发布博客中的第二篇。

前言

Spring Cloud Stream 2.0 引入了轮询消费者，应用程序可以通过它控制消息处理速率。

简介

Spring Cloud Stream 具有生产者和消费者的概念；在使用消息传递范式时，MessageChannel 会绑定到目标（例如 Kafka 主题、Rabbit 交换机/队列）。到目前为止，在消费者端，只要有空闲的消费者可用，就会传递消息。实际上，代理控制着传递速率；通常，下一个…

这是准备 Spring Cloud Stream 2.0.0.RELEASE 的一系列预发布博客中的第一篇。

前言

Spring Cloud Stream 2.0 包括对基于通道的绑定程序的内容类型协商的全面改进，以解决性能、灵活性和最重要的是一致性问题。以下博客涉及围绕已完成的工作、预期内容以及它如何帮助您的关键要点。

简介

数据转换是任何消息驱动的微服务架构的核心功能之一。在 Spring Cloud Stream 中，此类数据表示为 Spring Message。

…

经过漫长而激动人心的旅程，我们很高兴地宣布 Spring Cloud Stream Elmhurst 发布列车的第一个候选版本 - Elmhurst.RC1/2.0.0.RC1。

Spring Cloud Stream Elmhurst 2.0.0.RC1 可在 Spring Milestone 存储库中使用。该 发行说明 包含有关与 Spring Boot、Spring Cloud、Spring AMQP 和 Spring for Apache Kafka 的版本兼容性的相关信息。

鉴于这是一个候选版本，以下部分简要总结了不仅包含在此版本中，而且也包含在 2.0 中的功能和改进，并详细介绍了…

您好，Spring 粉丝！欢迎来到另一期《本周 Spring》！本周我将在圣地亚哥 JUG 与 Mario Gray 一起发表关于使用 Spring 进行测试的演讲，圣地亚哥 JUG。然后我将前往旧金山的 IBM Index 大会，在那里我将讨论构建反应式微服务，然后前往佐治亚州亚特兰大的 Devnexus，在那里我将讨论 Kotlin 和测试。如果您在附近，希望您能加入 我并打个招呼。

• Stéphane Nicoll 刚刚宣布了 Spring Framework 5.0.4。
• 查看这篇关于构建灵活的 Spring Cloud Data Flow 数据管道的白皮书 构建灵活的 Spring Cloud Data Flow 数据管道

• 现在使用 Spring Cloud Stream 从 Spring Initializr 启动变得更加容易：您只需要选择一个绑定器实现（Kafka 或 RabbitMQ），然后选择是否希望实现具有反应性，就可以开始了！
• Spring Cloud Task 负责人 Michael Minella 刚刚宣布了 Spring Cloud Task 2.0.0.M3。新版本包括应用程序关闭时更智能的默认行为，以及限制任务并发运行的能力，…