Wenn die Open-Source-Patches enden, beginnt für ältere Spring-Versionen das Risiko.
Dieselbe Entwicklung, die wir bei Infrastruktur-Lücken beobachten, betrifft auch die Anwendungsebene. Die Spring-Teams veröffentlichen Sicherheits-Patches heute in einem Tempo, das alles Bisherige übersteigt. Doch der kostenlose Open-Source-Support gilt pro Version nur für einen begrenzten Zeitraum, und viele Unternehmen nutzen Versionen, die sie nicht über Nacht upgraden können.
Diagnose
Spring veröffentlicht Sicherheits-Patches im Rekordtempo
~40
Security-Fixes in 60 Tagen
Spring, Frühjahr 2026; historisch < 1 pro Monat
30.06.2026
OSS-Support-Ende Spring Boot 3.5
danach Patches nur noch für Enterprise-Subscriber
Minuten
von Disclosure bis Exploit
früher Monate, Triage allein ist zu langsam
Das Problem
Die Zahlen aus dem Spring-Engineering sprechen für sich: In den letzten 60 Tagen wurden rund 40 Security-Fixes veröffentlicht. Historisch lag der Schnitt bei weniger als einem pro Monat. Treiber ist, wie bei der Time-to-Exploit-Krise auf der Infrastruktur-Ebene, KI: Sie automatisiert das Auffinden und das Ausnutzen gleichermassen. Laut Broadcom verketten moderne Frontier-Modelle inzwischen mehrere einzeln harmlose Schwachstellen autonom zu einem hochkritischen Angriffspfad. Triage-Genauigkeit verliert damit an Wert, entscheidend wird die Patch-Geschwindigkeit.
Das ist die Anwendungs-Ebene desselben Problems, das wir im Infrastruktur-Kontext beschrieben haben.
Wie Spring-Support funktioniert
Jede Spring-Version durchläuft zwei Support-Phasen. Entscheidend ist: Der kostenlose Community-Support endet pro Version zu einem festen Datum. Der Enterprise-Support läuft deutlich länger.
OSS-Support
Kostenlose Security-Updates und Bugfixes aus der Spring-Community. Zeitlich pro Version begrenzt.
Enterprise-Support
Support von Spring-Experten während des OSS-Fensters, plus verlängerter Support nach dem OSS-End-of-Life, inklusive Security-Patches für Versionen, die keine Community-Updates mehr erhalten.
Konkret: Der OSS-Support für Spring Boot 3.5 endet am 30. Juni 2026. Danach sind Security-Patches für 3.5 ausschliesslich über ein Enterprise-Abonnement verfügbar.
Lösung
Zwei Hebel: schneller upgraden oder den Support verlängern
Die dauerhafte Antwort ist Upgrade-Fähigkeit. Wo ein sofortiges Upgrade nicht realistisch ist, schliesst Enterprise-Support die Lücke, ohne dass Sie auf einer ungepatchten Version sitzen bleiben.
Upgrade-Geschwindigkeit erhöhen
Das Ziel bleibt: auf eine unterstützte Version kommen. Der Spring App Advisor (Teil von Tanzu Spring Essentials) analysiert Ihre Anwendungen und erstellt einen automatisierten Upgrade-Pfad. Das reduziert genau den technischen Schuldenberg, den KI-gestützte Angreifer am leichtesten ausnutzen.
Enterprise-Support als Brücke
Wo ein Upgrade Zeit braucht, liefert Tanzu Spring / Spring Enterprise Security-Patches inklusive Day-Zero-Fixes auch für Versionen jenseits des OSS-End-of-Life, von den Spring-Committern selbst, die alle Teil des Tanzu-Teams sind. 24×7-Support für 50+ Spring-Projekte plus OpenJDK und Tomcat.
Drei Verschiebungen für die Führungsebene
Von Triage zu Velocity
Wenn KI Schwachstellen nahezu in Echtzeit verkettet, kommt der Vorsprung aus Patch-Geschwindigkeit, nicht aus Triage-Präzision.
Das Bedrohungsfenster neu bewerten
Das Intervall zwischen Disclosure und Exploit ist von Monaten auf Minuten gefallen. Automatisierte Patch-Pipelines sind keine Kür mehr, sondern Voraussetzung.
MTTR messen
Mean-Time-to-Remediation gehört als operative Kernkennzahl ins Management-Reporting, als Mass dafür, wie resilient die Organisation gegen KI-getriebene Bedrohungen ist.
Verwandte Insights
Der Weg zu VCF 9.1 | vSphere 8 endet 2027, flexibel umsteigen
vSphere 8 erreicht im Oktober 2027 das Support-Ende, das Portfolio wird vollständig Subscription. Warum VCF 9.1 die Zielplattform ist und wie der Umstieg flexibel und schrittweise gelingt.
Wenn der Patch die Bauanleitung für den Angriff ist | Zero-Day & VCF 9.1
Die Vorwarnzeit zwischen veröffentlichter Schwachstelle und erstem Angriff ist von Jahren auf Stunden gefallen. Wie VCF 9.1 das Wartungsfenster verkürzt und wie evoila unterstützt.
Broadcom schliesst das VCSP-Programm | Deadline 31.03.2027 und Ihr Weg weiter
Broadcom hat das offene VMware Cloud Service Provider Programm beendet. Die bestehenden VCSP-Verträge enden am 31. März 2027, ab dem 1. April 2027 braucht es ein neues Modell. Was das für VMware-Kunden in der Schweiz bedeutet und wie VCF as a Service die Kontinuität sichert.
Eine konkrete Frage zum Thema?
In einem persönlichen Gespräch ordnen wir Ihre Situation ein.
Gespräch buchenQuellen
- [1]Spring Boot Support Policy (spring.io): Offizielle Support-Timeline pro Version: OSS-Fenster vs. Enterprise-Support.
- [2]enterprise.spring.io: Enterprise-Support-Umfang: Patches jenseits OSS-EOL, Day-Zero-Fixes von den Spring-Committern, 24×7 für 50+ Projekte plus OpenJDK und Tomcat.
- [3]VMware Tanzu Spring (vmware.com): Produktübersicht Tanzu Spring und Spring App Advisor.
- [4]Broadcom / Tanzu-Kommunikation: Mai 2026: Spring-Fix-Zahlen, KI-Chaining, OSS-EOL Spring Boot 3.5, Spring App Advisor. Einzelne Zahlen aus Hersteller-Kommunikation, als Trend zu lesen.