Tổng hợp tin tức Spring: Các bản cập nhật cho Boot, Security, Integration, Modulith và Spring AI 2.0

Hệ sinh thái Spring vừa có một tuần bận rộn với hàng loạt bản phát hành mới, mang đến nhiều cải tiến về tính năng, hiệu suất và bảo mật cho cộng đồng lập trình viên. Trong số các bản cập nhật này, sự ra mắt chính thức của Spring AI 2.0 và Spring Data 2026.0.0 là những điểm nhấn đáng chú ý nhất, bên cạnh các bản cập nhật bảo mật và tính năng cho Spring Boot, Spring Security và nhiều module khác.

Dưới đây là chi tiết những thay đổi quan trọng nhất trong đợt cập nhật này.

Spring Boot 4.1.0

Bản phát hành Spring Boot 4.1.0 tập trung vào việc sửa lỗi, cải thiện tài liệu và nâng cấp các thư viện phụ thuộc. Về tính năng mới, phiên bản này đã thêm hỗ trợ cho Spring gRPC. Ngoài ra, lớp InvalidConfigurationPropertyValueException giờ đây có một constructor công khai chấp nhận chuỗi ký tự để mô tả nguyên nhân ngoại lệ. Một cải tiến hiệu suất đáng kể cũng được thực hiện nhằm giảm mức tiêu thụ bộ nhớ khi gọi phương thức toByteArray() trong giao diện WritableJson.

Spring Data 2026.0.0

Spring Data 2026.0.0 mang đến khả năng tương thích với Kotlin 2.3.20 và Vavr 0.11.0. Các nhà phát triển sẽ được hưởng lợi từ trình lắng nghe thông báo pub/sub Redis được chú thích (annotated) mới và các đường dẫn thuộc tính an toàn kiểu (type-safe property paths), giúp mã nguồn trở nên mạnh mẽ và ít lỗi hơn.

Spring Security 7.1.0

Spring Security 7.1.0 cung cấp các bản sửa lỗi và nâng cấp phụ thuộc. Về tính năng mới, phiên bản này giới thiệu giao diện chức năng InetAddressMatcher, có thể được sử dụng làm mục tiêu gán cho biểu thức lambda hoặc tham chiếu phương thức. Ngoài ra, phương thức anyOf() mới được thêm vào lớp AllRequiredFactorsAuthorizationManager, cho phép cấp quyền truy cập cho người dùng thỏa mãn một trong số nhiều tổ hợp yếu tố xác thực khác nhau.

Spring Session 4.1.0

Bản phát hành này chủ yếu tập trung vào các bản sửa lỗi và nâng cấp phụ thuộc quan trọng, bao gồm Spring Boot 4.1.0, Spring Security 7.1.0, Spring Framework 7.0.8, Spring Data 2025.1.6, Project Reactor 2025.0.6, Jackson 3.1.4 và Testcontainers 2.0.5.

Spring Integration 7.1.0

Spring Integration 7.1.0 vô hiệu hóa phần tử allowCredentials trong chú thích @CrossOrigin của Spring Framework để ưu tiên sử dụng phần tử originPatterns, đồng bộ với Spring MVC. Nó cũng cải thiện các constructor trong lớp ExpressionEvaluatingMessageProcessor bằng cách loại bỏ logic xử lý ngoại lệ cũ để ủng hộ lớp Assert của Spring Framework.

Spring HATEOAS 3.1.0

Phiên bản này cải thiện bộ nhớ đệm trong lớp StringLinkRelation để đảm bảo bộ nhớ đệm không phát triển quá 256 mục nhập. Ngoài ra, phương thức canWrite() cũng được thay đổi để đồng nhất với phương thức cùng tên trong lớp AbstractSmartHttpMessageConverter của Spring Framework.

Đặc biệt, bản phát hành này khắc phục hai lỗ hổng bảo mật nghiêm trọng:

• CVE-2026-41006: Lỗ hổng lộ thuộc tính nhạy cảm do bỏ qua các chú thích kiểm soát truy cập của Jackson.
• CVE-2026-41007: Lỗ hổng cho phép kẻ tấn công cung cấp siêu phương tiện (hypermedia) độc hại thông qua bộ nhớ đệm tĩnh không giới hạn của StringLinkRelation.

Spring Modulith 2.1.0

Spring Modulith 2.1.0 bổ sung một tập hợp các lớp mới, chẳng hạn như NamastackOutboxEventRecorder, để hỗ trợ động cơ hộp thư sự kiện (event outbox engine) với Namastack. Nó cũng thêm lớp JobRunrEventExternalizer để hỗ trợ externalization sự kiện với JobRunr và chú thích @ModuleSlicing mới, cho phép chia nhỏ mô-đun ứng dụng kết hợp với các chú thích kiểm tra slice của Spring Boot.

Spring AI 2.0.0

Spring AI 2.0.0 là một bản phát hành lớn (GA) với nhiều cập nhật quan trọng. Các mô hình Google GenAI trong enum GoogleGenAiChatModel.ChatModel đã được cập nhật, loại bỏ các liệt kê cũ như GEMINI_2_0_FLASH và thay thế bằng GEMINI_3_1_PRO_PREVIEW. Ngoài ra, tính an toàn về null (null safety) trong gói org.springframework.ai.image.observation cũng được cải thiện bằng cách thay thế các phương thức đã lỗi thời trong lớp JsonNode của Jackson Databind.

Spring AMQP 4.1.0

Spring AMQP 4.1.0 đảm bảo tính tương thích với RabbitMQ 4.3.0. Một thay đổi bảo mật quan trọng là việc loại bỏ ký tự đại diện (wildcard) khỏi tất cả các bộ chuyển đổi tin nhắn Jackson để áp dụng chính sách "không tin tưởng ai" (trust no one) theo mặc định. Bản phát hành cũng giới thiệu mô-đun spring-amqp-client mới hỗ trợ tương tác với giao thức AMQP 1.0 chung.

Spring for Apache Kafka 4.1.0

Bản phát hành này điều chỉnh phương thức setBackOffFunction() trong lớp FailedRecordProcessor để xử lý tin nhắn theo lô (batch processing).

Nó cũng khắc phục ba lỗ hổng CVE:

• CVE-2026-41726: Cho phép kẻ tấn công gửi tiêu đề selector độc hại gây ra thrashing GC và lỗi OutOfMemoryError.
• CVE-2026-41727: Cho phép kẻ tấn công gửi bản ghi với tiêu đề retry_topic-attempts độc hại để gây ra sự cố định tuyến sai, dẫn đến việc tạm dừng listener bất ngờ.
• CVE-2026-41731: Cho phép kẻ tấn công cung cấp giá trị tiêu đề độc hại để deserialization các kiểu JDK tùy ý thông qua kiểm tra tiền tố không an toàn.

Spring LDAP 4.1.0

Spring LDAP 4.1.0 đánh dấu các phương thức cũ như toEntry(), toObject() là lỗi thời, thay thế bằng các phương thức mới như map(), single(), optional() trong giao diện LdapClient.

Bản phát hành này cũng khắc phục lỗ hổng CVE-2026-41720, cho phép kẻ tấn công có tên người dùng hợp lệ có được quyền ủy quyền bằng cách cung cấp mật khẩu rỗng hoặc null do lỗi triển khai trong giao diện DirContextAuthenticationStrategy.

Spring Vault 4.1.0

Spring Vault 4.1.0 giới thiệu các giao diện mới VaultClient và ReactiveVaultClient. Các giao diện này cung cấp một "lớp trừu tượng trung gian" thực thi xử lý đường dẫn tương đối tại lõi của nó, ngăn chặn việc sử dụng đường dẫn tuyệt đối không mong muốn khi cấu hình với VaultEndpoint. Ngoài ra, lớp ManagedSecret mới được thêm vào để đơn giản hóa việc tiêu thụ các bí mật được quản lý.

Spring gRPC 1.1.0

Cuối cùng, Spring gRPC 1.1.0 mang đến khả năng cấu hình các kênh trong quy trình (in-process channels) theo tên trong tệp thuộc tính ứng dụng và thêm tính năng xử lý ngoại lệ dựa trên chú thích cho các dịch vụ gRPC.