اسپرینگ فریمورک

Spring Framework
توسعه‌دهنده(ها)وی‌ام‌ویر
انتشار پایدار
6.2.0[۱] ویرایش در ویکی‌داده / ۱۴ نوامبر ۲۰۲۴؛ خطا: ناتوان در تجزیهٔ پارامتر اول در قالب تاریخ یا زمان. (۱۴ نوامبر ۲۰۲۴-خطا: زمان نامعتبر}})
مخزن
نوشته‌شده باجاوا (زبان برنامه‌نویسی)
سیستم‌عاملچندسکویی
پلت‌فرمماشین مجازی جاوا
نوعApplication framework
مجوزپروانه آپاچی ۲٫۰
وبگاه
رهگیرهای امنیتی و مدل «شیء امن»

اسپرینگ فریمورک (به انگلیسی: Spring Framework) یک چارچوب نرم‌افزاری و مدیر وارونگی کنترل متن‌باز برای سکوی جاوا است.[۲]

ویژگی‌های اصلی این فریمورک می‌تواند توسط هر برنامه جاوا مورد استفاده قرار گیرد، اما دارای افزونه‌هایی برای ساختن برنامه‌های کاربردی وب بر روی پلت فرم JavaEE می‌باشد. اگر چه این فریمورک هیچ مدل برنامه‌نویسی خاصی را به برنامه‌نویس تحمیل نمی‌کند، اما در میان برنامه نویسان جاوا به عنوان یک راهکار دوم، یا یک جایگزین یا حتی افزونه ای برای مدل Enterprise JavaBeans (EJB) تبدیل شده‌است.

این فریمورک توسط آقای راد جانسون (Rod Johnson) نوشته شده و برای اولین بار در سال ۲۰۰۳ ارائه شد. نسخه دوم در سال ۲۰۰۶ ارائه شده و موفق به دریافت جوایز متعدد گردید؛ و تاکنون تا نسخه ۴٫۳ از این فریمورک منتشر شده‌است.

اسپرینگ یک فریمورک سبک است که می‌توان آن را فریمورک فریمورک‌ها نامید! به این خاطر که از انواع فریمورک‌ها شامل Struts, Hibernate, Tapestry, EJB, JSF و غیره پشتیبانی می‌کند. در نگاهی کلی تر اسپرینگ را به عنوان ساختاری تعریف می‌کنیم که در آن می‌توان solutionهای مربوط به مسایل تکنیکال مختلف را پیدا کرد.

فریمورک اسپرینگ شامل چندین ماژول است از جمله IOC, AOP, DAO, Context, ORM, WEB MVC و غیره.[۳]

مزایای فریمورک اسپرینگ

[ویرایش]

اسپرینگ مزایای بسیاری دارد که عبارتند از:

  1. قالب‌های از پیش تعریف شده اسپرینگ قالب‌هایی (templates) برای تکنولوژی‌های JDBC, Hibernate, JPA و .. فراهم می‌کند؛ بنابراین نیازی به نوشتن کدهای زیاد نیست. اسپرینگ گام‌های پایه ای این تکنولوژی‌ها را مخفی می‌کند.
  2. اتصال ضعیف برنامه‌های اسپرینگی بخاطر وجود تزریق وابستگی، loosely coupled هستند.
  3. تست آسان تزریق وابستگی موجب می‌شود تا تست برنامه‌ها راحت‌تر شود. برنامه‌های EJB یا Struts برای اجرا نیاز به سرور دارند اما فریمورک اسپرینگ نیازی به سرور ندارد.
  4. سبک‌وزن اسپرینگ بسیار سبک است، چرا که پیاده‌سازی آن POJO است. اسپرینگ برنامه‌نویس را وادار نمی‌کند که از ارث بری یا پیاده‌سازی واسط (implement interface) استفاده کند. به همین خاطر است که به آن غیرتهاجمی (non-invasive) گفته می‌شود.
  5. توسعه سریع وجود تزریق وابستگی و نیز پشتیبانی از فریمورک‌های متعدد، اسپرینگ را به یک محیط توسعه آسان و سریع برای برنامه‌های JavaEE تبدیل کرده‌است.
  6. انتزاع قدرتمند اسپرینگ انتزاع بسیار قوی از ویژگی‌های JavaEE مانند JMS, JDBC, JPA و JTA فراهم می‌آورد.
  7. پشتیبانی اعلانی (Declarative) اسپرینگ برای ذخیره‌سازی، اعتبارسنجی، تراکنش‌ها و فرمت بندی پشتیبانی اعلانی فراهم می‌کند.[۳]

آسیب‌پذیری Spring4Shell

[ویرایش]

در فرودین ۱۴۰۰، نمونه اکسپلویتی در گیت‌هاب منتشر شد که در آن نحوه بهره‌جویی از یک آسیب‌پذیری روز-صفر در اسپرینگ فریمورک نمایش داده شده بود. اگر چه اکسپلویت خیلی زود از روی گیت‌هاب حذف شد اما همان مدت کم برای دانلود آن توسط مهاجمان و البته محققان کافی بود. آسیب‌پذیری مذکور که به آن شناسه CVE-2022-22965 تخصیص داده شده و بسیاری منابع با عنوان Spring4Shell یا SpringShell از آن یاد کرده‌اند، ضعفی از نوع Remote Code Execution یا همان RCE است. نسخ 5.3.0 تا 5.3.17 و 5.2.0 تا 5.2.19 و نسخ پایین‌تر Spring Framework در صورت فراهم بودن چندین پیش‌نیاز دیگر از جمله اجرا بر روی نسخه 9 یا نسخ بالاتر JDK نسبت به CVE-2022-22965 آسیب‌پذیر تلقی می‌شوند. ۱۱ فروردین ۱۴۰۰، با عرضه نسخ ۵.۳.۱۸ و ۵.۲.۲۰، آسیب‌پذیری CVE-2022-22965 برطرف شد.[۴]

آژانس CISA ایالات متحده، ۱۲ فروردین ۱۴۰۰ با انتشار یک اطلاعیه از تمامی سازمان‌ها و آژانس‌های فدرال این کشور خواست تا نسبت به ارتقای محصولات آسیب‌پذیر به Spring4Shell اقدام کنند. چند روز بعد، CISA ضعف CVE-2022-22965 را به فهرست آسیب‌پذیری‌هایی که سوءاستفاده از آن‌ها توسط هکرها و مهاجمان مسجل شده اضافه کرد.[۴]

منابع

[ویرایش]
  1. "Release v6.2.0".
  2. ویکی‌پدیای انگیلسی
  3. ۳٫۰ ۳٫۱ «آموزش فریمورک اسپرینگ». میهن لرن.
  4. ۴٫۰ ۴٫۱ «هر آن‌چه باید در خصوص SpringShell بدانید». رامونا پردازش نگار. ۲۰۲۲-۰۴-۰۶. دریافت‌شده در ۲۰۲۲-۰۴-۰۷.