Java周刊2026W28 | Spring Boot 4.1、IntelliJ IDEA 2026.2、Jackson 7漏洞、ZGC十年回顾、Endive 1.0

Java周刊2026W28 | Spring Boot 4.1、IntelliJ IDEA 2026.2、Jackson 7漏洞、ZGC十年回顾、Endive 1.0

本周Java生态迎来多项重要更新:Spring Boot 4.1支持MongoDB存储Batch元数据、IntelliJ IDEA开源LSP客户端API、ZGC回顾十年演进历程、Jackson一天内发现7个AI辅助漏洞、Endive 1.0在JVM运行WebAssembly,以及多个项目发布维护版本。

🌱 Spring生态

Spring Boot 4.1引入MongoDB支持的Spring Batch作业等新特性

Spring Boot 4.1引入了spring-boot-starter-batch-data-mongodb自动配置,允许Spring Batch以零配置的Boot体验将其JobRepository元数据存储在MongoDB中,消除了在已有MongoDB环境下还需要SQL数据库的要求。

Bootiful Podcast:Sébastien Deleuze畅谈Spring AI与Spring Framework最新进展

Spring AI和Spring Framework的核心贡献者Sébastien Deleuze在与Josh Long的播客节目中讨论了AI集成、Kotlin支持和框架更新的最新进展。

📦 版本发布

IntelliJ IDEA 2026.2开源LSP客户端API

IntelliJ IDEA 2026.2正在开源其LSP客户端API,将经过实战考验的平台客户端开放给所有JetBrains IDE和Android Studio使用,填补了迫使插件作者要么依赖不可用的商业扩展、要么从头构建自定义LSP客户端的空白。

GraalVM Community 25.1.3

GraalVM Community 25.1.3是一个先进的JDK,具备提前编译的Native Image能力,可通过GitHub Container Registry获取容器镜像,并提供独立的Python、JavaScript和Node.js运行时发行版。

Jetty 12.1.11

Jetty 12.1.11修复了12.1.8至12.1.10之间由ZipFileSystem引起的内存使用回归问题,并解决了一个关键问题:即数千个QTP线程在HttpChannelState.onIdleTimeout的ReentrantLock上阻塞时服务器变得不可访问。

Elasticsearch 8.19.18

Elasticsearch 8.19.18已发布,可供下载,发布说明中记录了此版本的变更和修复。

Zuul v3.6.18

Zuul v3.6.18为Headers新增了单次遍历的setAll方法,该方保留多值标头,并通过缓存每个类的isConstrained结果优化了FilterConstraints解析。

Grails 7.2.0

Grails 7.2.0引入了无过滤器的SiteMesh 3集成、原生GORM MongoDB String-to-ObjectId转换,并将Grails Data GraphQL模块迁移到与7.2.x分支对齐,同时改进了脚手架功能,对超类进行参数化以防止生成的服务和控制器方法中的类型擦除。

Micronaut Core 5.1.3

Micronaut Core 5.1.3是一个补丁版本,修复了无查询值时的RequestBean绑定、无效区域设置转换、Jackson内省生成属性名称、索引越界问题以及一个Jackson CVE,同时更新了依赖项。

Apache Camel 4.21.0

摘要无法从提供的内容生成,因为源页面仅显示加载错误和UI元素,未捕获到实际的发布说明或技术细节。

📖 文章与教程

回归“两个披萨团队”文化

作者认为,亚马逊最初的“两个披萨团队”理念——即小型、自主、拥有端到端所有权并能实现快速、可逆决策的团队——会随着公司规模扩大而逐渐退化,需要刻意努力才能恢复这种文化并保持交付速度。

安全内置于JVM:为何要分支Apache River和OpenJDK?

在Java SecurityManager被移除后,Apache River生态系统分支了OpenJDK以从JVM层面重建安全机制,其中DirtyChai在单个JVM内提供虚拟线程安全的授权,JGDMS则在IPv6网络上实现安全、自愈的服务发现。

这次依赖更新看起来完全像一次账号接管攻击

Marshal是一个面向Maven和Gradle项目的开源CLI工具,它基于行为信号(如GPG签名丢失和新维护者密钥)对依赖更新进行0到100的评分,能够捕获基于CVE的扫描器在CVE提交前的时间窗口内无法发现的供应链攻击模式。

Jackson一天内发现7个新漏洞:这就是AI辅助安全研究的样子

AI辅助安全研究在一天内发现了Jackson数据绑定库中的7个新漏洞,展示了AI工具如何显著加速流行Java库中的漏洞发现。

Endive 1.0正式发布:Bytecode Alliance下的JVM WebAssembly运行时

Endive 1.0已在Bytecode Alliance下发布,使WebAssembly(Wasm)能够直接在JVM上运行。

AI辅助的未使用与死代码移除

面向Java的AI辅助未使用与死代码移除技术利用AI识别并清除不再执行或被引用的代码,从而减少技术债务并提高可维护性。

CopyOnWriteArrayList.subList()的ConcurrentModificationException问题

CopyOnWriteArrayList的快照迭代器可以防止ConcurrentModificationException,但其subList()方法并不能提供同样的保证,如果原始列表被修改则会抛出该异常;本文演示了一种使用迭代器和AbstractList的安全替代方案。

扩展基于Java的实时系统:事件驱动设计的隐藏权衡

Eliya 25为OpenJDK 25 LTS带来JVM级诊断分析

摘要无法从提供的内容生成,因为源页面包含安全验证/验证码提示信息,而非实际文章内容。

Agent化与Agent化指数

Agent化描述了一种社会技术现象:自主AI代理系统性地取代在线社区和工作中真正的人类参与,将人类从主动生产者转变为管理自身替代者开销的基础设施看守者。

GenPage:Netflix端到端生成式首页构建

GenPage用单个生成模型取代了Netflix多阶段的首页流水线,该模型基于用户上下文自回归地生成完整的二维布局(行、实体及排列方式),不同于之前仅输出扁平排序列表的生成式推荐系统。

HotSpot JVM中的SIMD向量——自动向量化与Vector API

Oracle Java团队的本次分享涵盖了JDK 26中的自动向量化改进和Vector API,解释了开发者如何在性能关键的Java代码中利用CPU向量指令,并演示了SuperWord算法、常见循环模式及性能陷阱。

ZGC:重新定义Java性能的十年

ZGC已从JDK 11的实验性特性演进为生产就绪的并发垃圾收集器,通过将所有繁重的GC任务与应用程序线程并行执行,实现了亚毫秒级的暂停时间,使其成为延迟敏感型应用的理想选择。本次分享涵盖了其历史、内部机制、JDK 25性能及未来规划。

IntelliJ IDEA 2026.1.4发布

IntelliJ IDEA 2026.1.4已发布,包含多项错误修复。用户可通过IDE、Toolbox App、snaps或JetBrains网站进行更新。

Quarkus 3.37.1——维护版本

Quarkus 3.37.1是3.37系列的维护版本,可通过quarkus update CLI命令进行迁移,该命令支持从包括2.x在内的任何版本升级。

☕ JVM周报

生产策略归属何处:公开构建Eliya

Eliya是一个有明确主张的OpenJDK发行版,它解决了JVM配置(设置现有标志)与实现(更改内部逻辑)之间的根本局限,认为像重写堆转储字节流或追踪标志来源等生产意图行为应属于运行时本身,而非包装脚本。

本月Foojay上还有:

Fahim Farook的文章探讨了JVM配置空间(可通过现有标志调优的内容)与实现空间(需要更改内部逻辑的内容)之间的差异,认为包装脚本存在硬性天花板——它们无法修改堆转储流等运行时行为或追踪标志来源——这催生了Eliya这一有明确主张的OpenJDK发行版的诞生,它将这个天花板扩展到了实现空间。


往期精选

  • Java/JVM周刊2026W27 | Spring Boot 3.5.16 终版发布、Quarkus 修复 CVE-2026-50559、Kotlin Toolchain 0.11 Alpha、Eliya OpenJDK 发行版亮相、Spring AI 2.0 结构化输出

  • Java/JVM周刊2026W26 | Spring AI 2.0、Spring Boot 3.5.16、Quarkus CVE-2026-50559、JetBrains Mellum2 开源

  • Java/JVM周刊2026W25 | Spring AI 2.0、Spring Boot 4.1、Hibernate 8.0 Beta1、Quarkus 3.37.0、Project Valhalla

  • Web前端周刊2026W28 | TypeScript 7.0 RC、npm v12、Node.js 26.5.0、ECMAScript 2026、React Hook Form 7.81.0

  • Go周刊2026W28 | Go 1.27rc2、gopls 0.23.0、GoReleaser 2.17、Excelize 2.11.0、TypeScript Go 重写

  • Github周刊2026W28 | Meetily+8.6k星、OfficeCLI+6.5k星、Caveman削减65%Token、Orca并行代理编排、Cube Sandbox启动