توسعهدهنده(ها) | ویامویر |
---|---|
انتشار پایدار | 6.2.0[۱]
/ ۱۴ نوامبر ۲۰۲۴ |
مخزن | |
نوشتهشده با | جاوا (زبان برنامهنویسی) |
سیستمعامل | چندسکویی |
پلتفرم | ماشین مجازی جاوا |
نوع | Application framework |
مجوز | پروانه آپاچی ۲٫۰ |
وبگاه |
اسپرینگ فریمورک (به انگلیسی: Spring Framework) یک چارچوب نرمافزاری و مدیر وارونگی کنترل متنباز برای سکوی جاوا است.[۲]
ویژگیهای اصلی این فریمورک میتواند توسط هر برنامه جاوا مورد استفاده قرار گیرد، اما دارای افزونههایی برای ساختن برنامههای کاربردی وب بر روی پلت فرم JavaEE میباشد. اگر چه این فریمورک هیچ مدل برنامهنویسی خاصی را به برنامهنویس تحمیل نمیکند، اما در میان برنامه نویسان جاوا به عنوان یک راهکار دوم، یا یک جایگزین یا حتی افزونه ای برای مدل Enterprise JavaBeans (EJB) تبدیل شدهاست.
این فریمورک توسط آقای راد جانسون (Rod Johnson) نوشته شده و برای اولین بار در سال ۲۰۰۳ ارائه شد. نسخه دوم در سال ۲۰۰۶ ارائه شده و موفق به دریافت جوایز متعدد گردید؛ و تاکنون تا نسخه ۴٫۳ از این فریمورک منتشر شدهاست.
اسپرینگ یک فریمورک سبک است که میتوان آن را فریمورک فریمورکها نامید! به این خاطر که از انواع فریمورکها شامل Struts, Hibernate, Tapestry, EJB, JSF و غیره پشتیبانی میکند. در نگاهی کلی تر اسپرینگ را به عنوان ساختاری تعریف میکنیم که در آن میتوان solutionهای مربوط به مسایل تکنیکال مختلف را پیدا کرد.
فریمورک اسپرینگ شامل چندین ماژول است از جمله IOC, AOP, DAO, Context, ORM, WEB MVC و غیره.[۳]
اسپرینگ مزایای بسیاری دارد که عبارتند از:
در فرودین ۱۴۰۰، نمونه اکسپلویتی در گیتهاب منتشر شد که در آن نحوه بهرهجویی از یک آسیبپذیری روز-صفر در اسپرینگ فریمورک نمایش داده شده بود. اگر چه اکسپلویت خیلی زود از روی گیتهاب حذف شد اما همان مدت کم برای دانلود آن توسط مهاجمان و البته محققان کافی بود. آسیبپذیری مذکور که به آن شناسه CVE-2022-22965 تخصیص داده شده و بسیاری منابع با عنوان Spring4Shell یا SpringShell از آن یاد کردهاند، ضعفی از نوع Remote Code Execution یا همان RCE است. نسخ 5.3.0 تا 5.3.17 و 5.2.0 تا 5.2.19 و نسخ پایینتر Spring Framework در صورت فراهم بودن چندین پیشنیاز دیگر از جمله اجرا بر روی نسخه 9 یا نسخ بالاتر JDK نسبت به CVE-2022-22965 آسیبپذیر تلقی میشوند. ۱۱ فروردین ۱۴۰۰، با عرضه نسخ ۵.۳.۱۸ و ۵.۲.۲۰، آسیبپذیری CVE-2022-22965 برطرف شد.[۴]
آژانس CISA ایالات متحده، ۱۲ فروردین ۱۴۰۰ با انتشار یک اطلاعیه از تمامی سازمانها و آژانسهای فدرال این کشور خواست تا نسبت به ارتقای محصولات آسیبپذیر به Spring4Shell اقدام کنند. چند روز بعد، CISA ضعف CVE-2022-22965 را به فهرست آسیبپذیریهایی که سوءاستفاده از آنها توسط هکرها و مهاجمان مسجل شده اضافه کرد.[۴]