🗓 Еженедельный дайджест №51

Для тех, кто был слишком занят на неделе или просто пропустил некоторые посты, публикуем дайджест!

🍃 Spring АйО

– Может ли Spring стать платным, Hibernate мешает, Bitnami хочет денег | Spring АйО Подкаст №32
– Хватит терять время! Ускоряем сборку с помощью Spring Test Profiler
– Spring Boot 4 и Spring Framework 7: ключевые фичи и изменения
– Postgres 18 читает в 2–3 раза быстрее!
– Просто будь ленивым

⭐️ Партнёры

– Amplicode: Spring 7, Единый Дистрибутив, Spring Debugger, Spring Data JDBC
– JPoint: Дмитрий Фатов — Многопоточная вставка данных в БД: от скорости к атомарности. Spring + PostgreSQL

😌 @spring_aio

🍃 Spring Boot 4 и Spring Framework 7, StableValue в Java, Postgres стал быстрее | Spring АйО Подкаст №33

😉 СМОТРЕТЬ НА YOUTUBE
😄 СМОТРЕТЬ В VK ВИДЕО
🥰 СМОТРЕТЬ НА RUTUBE
🗯 СЛУШАТЬ НА ЯНДЕКС.МУЗЫКЕ
🤩 СЛУШАТЬ НА SPOTIFY
🤩 СЛУШАТЬ НА APPLE PODCASTS

💬 Аудио версию подкаста можно найти в комментариях

👩‍💻 LSP API теперь доступен всем пользователям IntelliJ IDEA и разработчикам плагинов

Команда Spring АйО перевела статью от JetBrains, в которой рассказано про избавление одного из главных барьеров на пути к массовому внедрению Language Server Protocol (LSP) в своей экосистеме.

С версии IntelliJ IDEA Ultimate 2025.2 пользователи смогут использовать LSP даже после окончания подписки, а с 2025.3 — LSP станет доступным во всех дистрибутивах IDE благодаря переходу на единый дистрибутив.

📚 Читать на Хабр: https://habr.com/ru/companies/spring_aio/articles/943896/

🗓 Еженедельный дайджест №52

Для тех, кто был слишком занят на неделе или просто пропустил некоторые посты, публикуем дайджест!

🍃 Spring АйО

– Spring Boot 4 и Spring Framework 7, StableValue в Java, Postgres стал быстрее | Spring АйО Подкаст №33
– LSP API теперь доступен всем пользователям IntelliJ IDEA и разработчикам плагинов
– Бесконечные циклы. Всё, что может пойти не так — пойдёт не так
– 95% пилотных проектов в области генеративного ИИ в компаниях проваливаются

⭐️ Партнёры

– Amplicode: Программная регистрация бинов в Spring 7
– JPoint: Дмитрий Константинов — Cassandra: почему мой запрос тормозит?

😌 @spring_aio

🍃 Бесконечные циклы - зло, ИИ генерит мусор, LSP API для людей | Spring АйО Подкаст №34

😉 СМОТРЕТЬ НА YOUTUBE
😄 СМОТРЕТЬ В VK ВИДЕО
🥰 СМОТРЕТЬ НА RUTUBE
🗯 СЛУШАТЬ НА ЯНДЕКС.МУЗЫКЕ
🤩 СЛУШАТЬ НА SPOTIFY
🤩 СЛУШАТЬ НА APPLE PODCASTS

💬 Аудио версию подкаста можно найти в комментариях

🆕 Что нового в Maven 4?

В новом переводе от команды Spring АйО рассматриваются основные изменения, которые ждут нас в новой версии Maven. Изменения затронули performance, POM, новый тип упаковки, улучшения для подпроектов и много другое.

📚 Читать на Хабр: https://habr.com/ru/companies/spring_aio/articles/945436/

😉 Как за 15 минут превратить таблицы БД в JPA-сущности?

В новом видео показываем, как быстро сгенерировать JPA-сущности из БД, организовать работу со Spring Data JPA и упростить написание Liquibase-скриптов.

Кроме создания с нуля также показали как автоматически вносить изменения из БД в уже существующие JPA-сущности.

😉 СМОТРЕТЬ НА YOUTUBE
😄 СМОТРЕТЬ В VK ВИДЕО
🥰 СМОТРЕТЬ НА RUTUBE

👩‍💻 Чёрный день для npm

8 сентября 2025 года злоумышленники скомпрометировали npm-аккаунт известного Open Source мейнтейнера Qix (Josh Junon) и выпустили вредоносные патч-версии десятков популярных пакетов — от chalk и strip-ansi до debug и color-convert. Совокупная аудитория — миллиарды скачиваний в неделю. Встроенный вирус представлял собой «крипто-клиппер», то есть подменял адреса кошельков криптовалют (об этом позже). Инцидент быстро заметили исследователи; шёл массовый откат релизов и зачистка.

Как это выглядело изнутри

Утро 8 сентября началось с «тишины перед бурей»: под привычными именами пакетов в реестр легли новые patch версии. Никаких громких мажорных апдейтов. Но внутри — обфусцированный код, который в браузере перехватывал fetch / XMLHttpRequest, а при наличии window.ethereum подменял поля транзакций ещё до того, как пользователь нажмёт «Approve». Именно так незаметные утилиты, лежащие в основании фронтенд-мира, превратились в оружие.

Ключ к атаке — социальная инженерия. Хакеры получили доступ к npm аккаунту Josh-а через фишинговое письмо, содержащее ссылку, по которой Josh перешёл. После захвата учётки началась «россыпь» вредоносных патчей в его проектах — от chalk и debug до strip-ansi, color-convert и других небольших, но крайне распространённых модулей.

Почему это ударило так широко?

Потому что речь о крайне популярных транзитивных зависимостях, спрятавшихся глубоко в node_modules фронтенда. Еженедельные скачивания — миллиарды: chalk, strip-ansi, debug и компания прокатываются транзитом через CI, статические сайты документации, Storybook’и и админки. Поэтому по сути огромная часть веба, которая транзитивно использовала данные зависимости, оказалась под угрозой.

Сам обфусцированный код, как уже сказали, работал как crypto clipper. Вирус подбирал «похожий» адрес кошелька транзакции по расстоянию Левенштейна, и подменял кошелёк получателя, по сути, надеясь, на невнимательность пользователя. Если кошелёк не обнаруживался при переводе — шла пассивная подмена в сетевом трафике; если обнаруживался — транзакция на самом деле совершалась на кошелёк злоумышленника, а не на тот, куда хотел отправить пользователь .

Дальше — гонка скоростей

В сухом остатке — тревожный, но честный вывод: сегодня «маленькая» зависимость — это не строка в package.json, а потенциальный канал влияния на миллионы пользователей.

Несмотря на то, что в ходе данной атаки в сумме злоумышленники получили всего лишь порядка $50, эта история хорошо демонстрирует, что современная интернет инфраструктура построена на доверии - просто подумайте, насколько просто было злоумышленникам распространить свой crypto clipper на десятки миллионов билдов.

🙏 Нас, как бекенд-разработчиков эта история мало касается. Однако не стоит забывать, что "Умный учится на своих ошибках, мудрый учится на чужих, а дурак не учится никогда". Будьте аккуратны, друзья

👩‍💻 UUIDv7 в PostgreSQL 18!

Совсем скоро (в конце сентября) выйдет PostgreSQL 18. Релиз готовит важные обновления — от асинхронного I/O до EXPLAIN с показателями CPU и WAL.

Довольно громкая новинка — нативная поддержка UUIDv7, нового стандарта уникальных идентификаторов, идеально подходящих для B-tree индексов.

В новом переводе от команды Spring АйО рассказывается, почему это важно, как работает UUIDv7 и чем он лучше UUIDv4 для современных распределённых систем.

📚 Читать на Хабр: https://habr.com/ru/companies/spring_aio/articles/946168/

👩‍💻Maven: verify или clean install?

Если вы автоматически пишете mvn clean install при сборке проекта, то вы такой точно не один — эта команда прочно укоренилась в привычке Java-разработчиков. Но действительно ли она всегда необходима?

В новом переводе от команды Spring АйО мы погрузимся в детали жизненного цикла Maven, поведение реактора, инкрементные сборки и подводные камни использования clean и install. А главное — попробуем понять, когда можно (и нужно) обойтись без install и clean, чтобы ускорить сборку и сократить расходы памяти.

📚 Читать на Хабр: https://habr.com/ru/companies/spring_aio/articles/946410/