2026年4月2日,Spring Cloud正式发布2025.0.2版本(代号Northfields)。这是一个基于Spring Boot 3.5.13的维护版本,包含1个关键安全修复和多项核心组件升级。对于正在使用Spring Cloud构建微服务架构的开发者而言,这次更新有几个不可忽视的要点。
一个不得不重视的安全修复
本次版本最重要的变更修复了Spring Cloud Config中的CVE-2026-22739漏洞。
这是Spring Cloud Config的认证或授权相关漏洞。虽然官方公告着墨不多,但任何涉及配置中心的服务都不应该忽视安全更新。如果你目前在生产环境使用Spring Cloud Config,建议立刻对照CVE详情评估影响,并计划升级。
<!-- 升级方式:通过BOM统一管理版本 -->
<dependencyManagement>
<dependencies>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-dependencies</artifactId>
<version>2025.0.2</version>
<type>pom</type>
<scope>import</scope>
</dependency>
</dependencies>
</dependencyManagement>
核心组件升级一览
除了安全修复,这次还更新了多个核心模块:
Spring Cloud OpenFeign → 4.3.2
- 底层OpenFeign库升级到13.6.1
- 改动主要是内部优化,对开发者通常是透明的
Spring Cloud Kubernetes → 3.3.2
- Fabric8客户端升级到7.3.2
- 更好的Kubernetes API兼容性
- 对在K8s环境中部署的开发者有直接影响
Spring Cloud Netflix → 4.3.2
- Eureka升级到2.0.6
- 移除了传递依赖commons-configuration,减少潜在的依赖冲突
Spring Cloud Gateway → 4.3.4
- 作为网关组件的例行维护版本
升级建议
如果你的项目正在使用Spring Cloud,以下是建议的评估步骤:
第一步:检查当前版本 确认你当前使用的Spring Cloud版本。如果还在使用2024.x系列,建议评估升级路径。
第二步:安全优先 使用Spring Cloud Config的项目优先升级。CVE-2026-22739的具体细节可以在Spring官方安全公告中查阅。
第三步:回归测试 虽然是小版本升级,但OpenFeign和Fabric8的升级可能影响:
- HTTP客户端行为
- Kubernetes服务发现机制
- 配置属性的解析方式
建议在测试环境完整运行集成测试后再部署生产。
小结
2025.0.2是一个"常规但必要"的维护版本。安全漏洞修复是最大亮点,组件升级则是常规的依赖更新。如果你还在使用更早的版本,这次更新也提供了一个升级的理由——毕竟2025.0.2直接基于Spring Boot 3.5.13,享受最新的框架支持。
本文首发于掘金
参考来源:
