我们注意到，spring-security-saml 示例应用程序包含一个 XML 外部实体 (XXE) 漏洞。这意味着恶意用户可以查看 Spring 应用程序进程有权访问的任何文件。

此问题是 OpenSAML Java ParserPool 和 Decrypter 易受 XML 攻击 的直接结果。ParserPool 实现的默认行为已在 OpenSAML 2.6.1+（Spring Security SAML 使用的版本）中得到修复。但是，如果用户在没有适当设置的情况下构建自己的 ParserPool，则此漏洞仍然可能存在。

注意

我们没有将其视为 CVE，因为该漏洞仅在不被视为生产代码的示例应用程序中发现。但是，我们预计用户可能已经复制了此代码来创建自己的应用程序。因此，我们希望保持透明并传达此问题以及….

欢迎来到另一期《Spring 本周回顾》！本周我在 纽约（参加 NYC Java SIG）、奥斯汀和 旧金山（参加硅谷 Spring 用户组） 与客户交流并举办聚会！像往常一样，我们有很多内容要介绍，所以让我们开始吧！

• Spinnaker 是 Netflix 构建的基于 Spring Boot 的持续交付平台。它支持构建和烘焙（build-and-bake）流水线，并与 Spring Boot 和各种云平台自然集成。它得到了 Microsoft、Google 和 Pivotal 的贡献。在这篇文章中，Spring 大师 Greg Turnquist 介绍了 Spring Cloud Spinnaker 1.0.0.M1。绝对值得一看！
• 这看起来很有趣 - 一个支持基于 Spring 的应用程序的代码生成器，名为 Sifu
• JAX London 刚刚公布了他们的 Java 领域社交影响力前 20 名。 Spring Data 负责人 Oliver Gierke 和我入选了该榜单…

Spring 社区大家好，

我很高兴发布 Spring Cloud Spinnaker 的第一个里程碑版本。Spring Cloud Spinnaker 打包了 持续交付平台 Spinnaker，并提供一键安装程序，允许您将其安装到任何 认证的 Cloud Foundry 提供商。

在今年的 SpringOne Platform 2016 大会上，有两次关于 Spinnaker 的演讲。如果您有早期发布访问权限并且错过了它们，您现在就可以观看。否则，一旦发布，您可以在 SpringDeveloper YouTube 频道 上观看它们。

如果您的团队/聚会/JUG 对 Spinnaker 感兴趣，请联系我，我们可以安排…

欢迎来到另一期《Spring 本周回顾》！自从上次交流以来，我一直在伦敦、北京、上海和新加坡（我现在就在这里）参加会议并与客户交流。明天，周三，我将在新加坡 Spring 聚会上发表演讲 - 欢迎参加！这几天真是精彩纷呈！

• Spring Data 大师 Mark Paluch 又发表了一篇精彩文章，介绍了 Spring Cloud Vault
• Spring Security 负责人 Rob Winch 刚刚宣布发布 Spring Security 4.1.2
• Spring Integration 大师 Artem Bilan 刚刚宣布发布 Spring for Apache Kafka 1.0.3
• 查看此幻灯片，了解 PayPal 如何使用 Spring Boot
• 我喜欢我的朋友 Richard Seroter 对我们几周前 SpringOne Platform 活动的评论
• 我喜欢 Camille Fournier 关于微服务的一些真实架构模式的文章，特别是她对 … 挑战的观察

在我之前关于使用 Vault 管理秘密的文章中，我向您介绍了 Vault 以及如何使用通用秘密后端存储任意秘密。Vault 不仅可以管理 API 密钥、密码等秘密数据以及其他敏感的字符串类数据。今天，我们将探讨 Vault 与数据库、服务和证书的集成。

数据库凭据往往是静态的

对于数据库来说，获取凭据以申请数据库的常规流程是请求某个操作员或自助服务工具向您提供凭据，以便您的应用程序可以登录到…

欢迎来到另一期《Spring 本周回顾》！本周我正在从 SpringOne Platform 精彩疯狂的一周中恢复过来，同时也在伦敦夏日拜访客户。

我们有很多内容要介绍，所以让我们开始吧！

• IntelliJ IDEA 的开发人员更新了他们关于 Spring 的介绍
• 上周的 SpringOne Platform 活动有几篇总结博客，包括我们在此博客上发布的关于第一天的博客

以及第二天的博客，以及 Pivotal 主博客上关于第一天、第二天、第三天和最后总结的文章

• 当我们在 Pivotal 博客上时，那些对 Cloud Foundry 上的区块链感兴趣的人可能会喜欢这篇文章
• SpringOne Platform 充满了精彩的主题演讲，所有这些都已在线（或很快）可用。当然，您必须观看 Adrian Cockroft (@adrianco) 的精彩主题演讲《简化未来》：“我们只需在 Cloud Foundry 上使用 Spring Boot。”
• 想了解 JVM 上领先的应用程序服务器 Apache Tomcat 的未来吗？Pivotal 是其主要赞助商之一。请查看 InfoQ 对 Pivotal 的 Mark Thomas 的采访
• 上周，我们有 Redmonk 的 James Governor 和 InfoQ 的 Charles Humble 参加了大会并进行了讨论。我喜欢 Charles Humble 对第一天主题演讲的报道 - …

作者：Josh Long 和 Pieter Humphrey

Spring 的核心在于一个关键信息：软件是业务差异化功能，所有阻碍组织更快、更安全地交付更好软件的障碍都应该被自动化或消除。SpringOne Platform 通过关于持续交付各个方面的演讲捕捉到了这一主题。

SpringOne Platform 2016 活动展示了这次大会在各个方面都比以往任何时候都更大、更好！与 2015 年相比，参会人数翻了一番，达到了创纪录的 2000 多人，还有 200 多场演讲，30 多个赞助商，以及来自 Netflix、Paypal 等公司的杰出演讲者…

欢迎来到又一期非常特别的《Spring 本周回顾》 - 本周 Pivotal 全力投入 SpringOne Platform 2016。今年的参会人数、议题和赞助商都比以往任何时候都多！欲了解更多，请查看我们的 SpringOne Platform 回顾博客！

如果您不在现场，请不必担心，所有演讲都将在线提供，但在那之前... 希望您在这里！与往年一样，SpringOne 之前发布了许多精彩的版本，在您等待演讲回放上线期间，这些版本应该会让您非常忙碌！让我们开始吧！

• Spring Boot 联席负责人 Phillip Webb 宣布发布 Spring Boot 1.4，正好赶上 SpringOne Platform！
• ..以及 Spring Boot 大师 Stephane Nicoll 宣布发布 Spring Boot 1.3.7
• Spring Data 大师 Mark Paluch 宣布发布 Spring Data Ingalls M1，包含大量新功能（并修复了 250 个问题！），包括转换子系统（Commons、MongoDB）中的属性访问，Spring Data Cassandra 对 Cassandra 3.0 的更新，
…

我很高兴宣布 Spring IO Platform Athens-RC1 现在可以从 Spring 里程碑仓库获取。

此版本是第一个采用新的按字母顺序命名的版本方案，类似于 Spring Cloud 和 Spring Data 已经使用的方案。Platform 版本的命名主题是世界城市。

Athens 版本升级了许多项目的版本

• Spring Framework 4.3
• Spring AMQP 1.6
• Spring Boot 1.4
• Spring Data Hopper
• Spring Hateoas 0.20
• Spring Integration 4.3
• Spring LDAP 2.1
• Spring REST Docs 1.1
• Spring Security 4.1
• Spring Session 1.2
• Spring Web Services 2.3

内容…