Devnexus：将 Java 带入 AI 时代

快速阅读: 据《安保大道》称，亚特兰大举办的Devnexus 2025大会庆祝Java发布30周年，聚焦AI与安全。Java仍是企业核心，其安全关乎整体安全。会议涵盖身份验证、授权及AI应用安全，强调秘密管理和AI风险防控。GitGuardian支持开源，提供免费秘密扫描工具助力Java项目安全。

亚特兰大，位于美国佐治亚州，是众多记录的诞生地。这座充满活力的城市在1886年首次供应了可口可乐，同时还是大学橄榄球名人堂的所在地，为多年来无数球员和教练创造的众多记录提供了一个公共展示平台。亚特兰大成为了庆祝自身记录的绝佳背景，因为地球上最古老的、规模最大的Java社区会议——“Devnexus 2025”，在这里迎来了第21届盛会。今年，Java正庆祝詹姆斯·高斯林（James Gosling）最初发布该编程语言以来的30周年，这为本已意义非凡的活动增添了更多兴奋与自豪。

超过1200名开发人员、DevOps专业人士及其它参与者齐聚一堂，在三天时间内聆听了135位演讲者带来的研讨会和讲座。虽然几乎所有演讲的核心内容都是通过采用更好的工具和技术来改善组织的运作，或者专注于Java语言本身，但正如最近大多数其他会议一样，重点也放在了如何利用人工智能加速变革上。

**Java的安全状态即为企业安全的状态**

Java依然是企业环境中广泛应用的主要编程语言之一，其安全挑战与更广泛的企业安全问题密不可分。大约90%的《财富》500强公司某种程度上依赖Java，它仍然是所有行业中关键业务应用的基础组件。Java的安全状态即为企业安全的状态。

Java对于微服务架构的原始构想及其普及至关重要，因为企业应用程序寻求比单一设计更具可扩展性和模块化的解决方案。如今许多紧迫的软件安全问题，如供应链攻击、依赖管理、API安全和工作负载隔离，早已成为Java安全故事的一部分。在云原生架构成为常态之前，Java开发人员就已经面临诸如反序列化漏洞、类路径操作攻击以及不安全的基于反射的代码执行等挑战。臭名昭著的Log4Shell漏洞事件突显了Java安全对企业的重要性，影响了云环境和本地系统。

**在Java中保护秘密是至关重要的任务**

与其他任何企业工具或服务一样，基于Java的应用程序的秘密是攻击者最喜欢的向量，需要加以保护。例如，极受欢迎的图数据库Neo4J是用Java编写的，并广泛用于构建大型语言模型（LLM）应用程序中的知识图谱。攻击者如果获得对该层的访问权限，可以以多种方式操纵这些系统。不幸的是，根据我们最新的秘密蔓延报告，Neo4J凭证在公共GitHub仓库中出现了最高的同比泄露增长。在Java中保护秘密是至关重要的任务。

另一个秘密泄露可能导致灾难的流行Java工具是开源身份认证与访问管理平台Keycloak。许多组织依赖Keycloak来管理单点登录（SSO）和用户联合。如果有人获得泄露的管理员API密钥的访问权限，可以快速提升权限或将整个组织锁定在其自己的应用程序之外。保持这些秘密的安全是至关重要的任务。

**Java的身份验证和授权**

在Devnexus的安全轨道的十个会话中，有五个会话涉及身份验证和/或授权。作者有幸发表了一个关于大规模处理秘密安全的演讲。虽然不是Java特定的，但我很高兴有机会就企业在企业中秘密蔓延的真正挑战以及长期存在的凭据渗透遗留应用程序和基础设施的问题进行了一些对话。我希望能激发团队之间关于如何最好地发展其秘密安全态势的一些讨论。

一些会话专注于在应用程序本身中处理授权，例如来自VMware Tanzu工作人员软件工程师Josh Cummings的“那里有一个Authz：2025年的Spring Security”。这个会话全是代码示例，逐步展示了在Spring框架中利用授权的多种越来越高效的方法。其他会话以较少代码密集的方式引入概念，例如来自Daugherty Business Solutions应用架构师Kelly Morrison的“保护蝙蝠计算机！理解OAuth2（借助几位超级英雄的帮助）”。在他的演讲中，他使用漫画英雄来解释OAuth2如何允许客户端从授权服务器获取身份令牌和访问令牌。虽然我们查看了一些JWT的例子，但这保持在较高层次，并且是一个极好的介绍。

**将AI写入企业应用程序**

虽然已经确立，但Java社区迅速采用他们认为对企业发展有益的技术。AI也不例外，并且正在合理的情况下迅速被采用。在整个活动中，人们都有一种谨慎乐观的情绪，认为AI给Java开发生态系统带来了可能性。虽然Devnexus的几乎所有会议都集中在Java上，但今年AI和LLMs的主题是16次演讲和研讨会的中心。有全天深入的工作坊，如“AI驱动的开发：利用最新的AI创新增强Java”，也有专注于利用AI单一方面的会议，如Gaurav Gupta的“Jakarta EE的AI工具”，甚至还有如何有效使用开源工具构建更好AI的会议，如Andrew Madson的“使用Apache Iceberg的适合AI的数据：统一、控制和优化您的数据以实现有效的AI”。

在安全轨道上，有关于AI在规模上的法律方面和安全性的AI会议。Snyk的员工开发者倡导者Brian Vermeer和Naboo的开发者倡导者兼产品经理Lize Raes共同呈现了“保护LLM驱动的应用程序：克服安全和隐私挑战”的联合会议。他们带领我们了解了一些最常见的，不幸的是也非常容易执行的针对AI聊天代理的攻击。在他们的演讲中的一部分，Lize通过非常直接和反复地提问，让AI机器人给了她应用程序用户的私人数据。训练数据中的任何秘密都有可能以同样的方式获得。他们还提供了一些优秀的补救建议，并展示了RAG注入、越狱甚至是SQL注入。好消息是，这些预防措施相对容易实施，但另一方面，实施这些补救措施需要投入和时间。随着我们越来越多地使用AI来更快地交付，他们的行动呼吁是要更频繁、更早地让人参与进来。就像凭据一样，我们需要缩小AI代理可以访问的服务范围，以减少恶意行为者滥用的可能性。

**一个既定社区的光明未来**

许多人第一次进入应用程序开发的世界时，认为JavaScript、Python、Go和Rust是未来的方向。然而，Java仍然是那些重视可扩展性和可靠性的企业首选的语言。鉴于其在世界上一些最大公司的普遍存在，未来取决于开发人员继续学习编写和部署Java应用程序的新技能。值得庆幸的是，社区仍然非常活跃和欢迎，正如Devnexus在过去20多年所证明的那样。但没有必要等到下一次Devnexus才能与附近的科技社区建立联系。全球有超过300个Java用户组（JUGs），成员们愿意帮助你学习构建和保护你的Java应用程序。

GitGuardian很自豪地支持开源事业。这就是为什么我们为任何你需要保护的Java项目（或其他任何语言的项目）提供免费的存储库秘密扫描。安全是一个持续的旅程，我们期待着在未来30年内帮助Java保持安全。

***
这是Security Bloggers Network发布的博客文章，原文来自GitGuardian Blog – 掌握你的秘密安全，作者Dwayne McDaniel。阅读原始文章请访问：https://blog.gitguardian.com/devnexus-2025/

(以上内容均由Ai生成)