Разбор нового релизного цикла Spring
- Введение
- Что такое Spring, и почему он так важен для разработчиков и бизнеса во всем мире
- Краткая история Spring
- Новая реальность Spring: короткие OSS-версии против LTS-поддержки Broadcom
- Что изменилось в лицензировании и релизном цикле Spring
- Последствия перехода Spring на полугодовой цикл OSS-поддержки
- Подход 1. Заморозить систему на текущей версии.
- Миграция: стратегический подход
- Подход 2. Следование короткому циклу OSS-релизов
- Подход 3. LTS поддержка Spring. Есть ли альтернатива для компаний в России?
- Сравнение стратегий поддержки Spring в России
- Заключение
Введение
Spring входит в основу большинства корпоративных Java-решений по всему миру. Согласно JetBrains Developer Ecosystem 2023, более 80% Java-разработчиков во всем мире используют Spring, а 60% проектов работают на Spring Boot 2.x.
Spring — это не просто популярный Java-фреймворк. Это технологическая основа большинства корпоративных приложений, работающих в России. Банки, телекомы, ритейл и государственные информационные системы строят ключевые сервисы на Spring Framework и Spring Boot.
Согласно исследованию ТехРадар Java 2025 (JUG.Ru Group) экосистема Spring остается в лидерах и в России. Почти 90% корпоративных разработчиков в России используют Spring в проектах:
И более трети всех разработчиков используют Spring Boot версий 2.X
Spring был создан Родом Джонсоном как open-source альтернатива Java EE. Позже вокруг него появилась компания SpringSource, которую в 2009 году приобрела VMware. В 2013 году проект перешёл в Pivotal Software, а затем снова вернулся в VMware как часть платформы Tanzu. Сегодня Spring входит в портфель Broadcom и остаётся ключевой технологией корпоративной разработки.
До недавнего времени пользователи Spring чувствовали себя относительно спокойно: Spring существовал в open source и имел долгосрочную поддержку. Но в августе 2024 года произошли изменения, которые затронут практически всех.
31 августа 2024 года завершилась Open-source поддержка Spring Framework 5.3.x, 6.0.x и Spring Boot 2.7.x. Spring перешёл на модель полугодовых OSS-релизов (OSS Open Source Support release - релиз с поддержкой сообщества) и коммерческих подписок — и из-за санкций российским компаниям подписка стала недоступна.
Результаты:
- Нет обновлений безопасности;
- Растут риски ИБ, регуляторные нарушения;
- Высокие затраты на миграции на новые версии Spring.
В этой статье мы решили разобраться, что же делать Российским компаниям с учетом нового релизного цикла, и собрали ответы на вопросы как правильно подготовиться к миграции, какие альтернативы на рынке существуют, и что делать компаниями которые полагаются в разработке своих бизнес-сервисов на Spring
Что такое Spring, и почему он так важен для разработчиков и бизнеса во всем мире
Spring Framework — самый популярный Java-фреймворк. Он облегчает разработку, но не тем, что «придумал» Inversion of Control (IoC) и Dependency Injection (DI) — эти подходы существовали и раньше, ещё до Spring. Настоящее преимущество Spring в том, что он сделал IoC и DI массовыми и удобными: реализовал их в виде готового контейнера, унифицировал практику и убрал рутину ручной конфигурации. Хотя в ранних версиях Spring приходилось работать с обширными XML-файлами, именно этот фреймворк впервые сделал внедрение зависимостей системным и централизованным решением, а позже — с появлением аннотаций и Java Config — ещё и лёгким.
Благодаря этому архитектура стала гибкой, тестирование — проще, а поддержка кода — предсказуемее.
Почему бизнес выбирает Spring:
- Быстрый вывод продукта на рынок благодаря автонастройке (auto-configuration).
- Стабильная экосистема: Spring Security, Spring Data, Spring Cloud и другие модули.
- Активное сообщество, множество специалистов на рынке и множество успешных кейсов.
- Высокая производительность и масштабируемость для монолитных и микросервисных приложений.
Почему разработчики выбирают Spring:
- Встроенный сервер (Libercat, Tomcat, Jetty, Undertow) позволяет запускать приложения «из коробки».
- Конвенции вместо конфигурации (smart defaults) ускоряют старт новых проектов.
- Полный набор инструментов для безопасности, работы с данными, очередями, веб-сервисами и мониторингом.
- Гибкость в масштабировании и интеграции с Spring Cloud для устойчивых распределённых систем.
Для российского бизнеса платформа не менее важна: Spring — основа для интернет-банков, процессинговых систем, ERP, e-commerce и даже для государственных сервисов.
Краткая история Spring
Чтобы понять масштабы происходящего в российской и мировой Java-разработке, полезно вспомнить ключевые этапы развития Spring.
- 2002 год — Род Джонсон выпускает книгу Expert One-on-One J2EE Design and Development, где описывает сложности монолитной архитектуры Java EE и подходы к её упрощению.
- 2004 год — релиз Spring Framework 1.0. IoC (Inversion of Control) и DI (Dependency Injection) делают разработку Java-приложений проще и гибче.
- 2006–2008 годы — Spring активно проникает на российский рынок, благодаря локализованным публикациям, конференциям и растущему интересу крупных корпоративных проектов.
- 2014 год — Spring Boot: минимальная конфигурация, автоконфиг, мгновенный запуск сервисов. Для российских команд это означало ускорение разработки микросервисов и упрощение поддержки приложений.
- 2022 год — Spring 6 и Spring Boot 3: переход на Jakarta EE 9, разрыв обратной совместимости, необходимость миграции существующего кода. Российские компании начинают сталкиваться с трудоёмкой миграцией и совместимостью библиотек.
- 2024 год — официальное завершение поддержки ключевых OSS-версий Spring Framework и Spring Boot. Для российских разработчиков и компаний это создает проблему: нет доступной долгосрочной поддержки, а Broadcom Enterprise Support недоступен из-за санкций.
За эти годы Spring стал фактическим стандартом для корпоративной Java в России. Сообщество разработчиков активно развивается, создаёт локальные инициативы, такие как Spring АйО, чтобы делиться знаниями, поддерживать российских разработчиков, обсуждать миграции и находить решения для отечественных реалий.
Новая реальность Spring: короткие OSS-версии против LTS-поддержки Broadcom
Официальное заявление команды Spring
В марте 2024 года команда Spring официально объявила, что окончание открытой поддержки (OSS) для ключевых версий Spring Framework и Spring Boot завершится в августе того же года.
Фрагмент из блога Юргена Хёллера (Juergen Hoeller), одного из лидов Spring Framework:
Перевод:
«Дорогие участники сообщества Spring! По мере того как мы готовим релиз Spring Framework 6.2 в этом году, пришло время завершить поддержку не только ветки 6.0.x, но и 5.3.x. Последние релизы этих линий будут опубликованы в августе, а официальное окончание open source поддержки наступит 31 августа 2024 года. Вместе с 5.3.x на ту же временную шкалу переводится и Spring Security 5.8.x.
Линия 5.3.x стала одной из самых долгоживущих в истории Spring и продолжит существовать в рамках коммерческой поддержки ещё несколько лет. С подробностями коммерческих релизов вы можете ознакомиться на сайте VMware Spring.
С учётом того, что Spring Boot 2.7.x уже достиг конца OSS-поддержки, мы приняли решение синхронизировать завершение 5.3.x с окончанием 6.0.x. Если вы ещё не сделали этого, рекомендуем как можно скорее спланировать апгрейд до 6.1.x.
Наша команда теперь сосредоточена на Spring Framework 6.2, первый milestone которого выйдет уже скоро, а релиз-кандидат запланирован на сентябрь.»
Juergen Hoeller, Spring Blog
🔗 Источник: spring.io/blog
Что изменилось в лицензировании и релизном цикле Spring
Как было до 2024 года: Spring Framework и Spring Boot были с регулярными багфиксами и патчами безопасности от сообщества.
После 2024 года версии Spring с поддержкой сообщества выходят каждые полгода, но срок их жизни ограничен всего 6 месяцами. Долгосрочная (LTS) поддержка доступна только по платной Enterprise-подписке Broadcom или через альтернативные решения. Это напоминает переход Oracle Java на LTS-модель: бесплатные версии выходят регулярно, но за длительную поддержку и безопасность компании должны платить. По сути, Spring повторяет судьбу Java — из свободного open-source проекта он превращается в коммерческий продукт с подписочной моделью. Основные отличия собрали в таблице:
| Параметр | До 2024 года | После 2024 года |
|---|---|---|
| Лицензия | Apache License 2.0, без ограничений | Apache License 2.0 (формально осталась, но без долгосрочной поддержки) |
| Обновления безопасности | Бесплатно в рамках OSS, выпускались регулярно | Только в рамках Spring Enterprise Subscription |
| Багфиксы | Сообщество выпускало бесплатные исправления ошибок | Исправления только в коммерческой подписке |
| Срок поддержки OSS-версий | 3–5 лет (долгосрочный цикл поддержки) | Всего 6 месяцев, затем обязательная миграция |
| LTS-версии | Бесплатно доступны, можно было оставаться на стабильной версии несколько лет | LTS доступны только в Enterprise-подписке |
| Миграция | Проводилась по желанию, в удобное время | Обязательна каждые полгода (если нет подписки и вы хотите, чтобы не было открытых уязвимостей) |
| Для России | Полный доступ к OSS, обновлениям, библиотекам и артефактам Maven Central | Ограниченный доступ: санкционные риски, невозможность купить Enterprise-подписку, потенциальные блокировки репозиториев |
Последствия перехода Spring на полугодовой цикл OSS-поддержки
Изменения в жизненном цикле программного обеспечения всегда создают проблемы и требуют тщательного планирования, особенно когда речь идёт о широко используемых фреймворках. Для российских компаний риски выше, поскольку даже open source-решения имеют владельцев за рубежом. В любой момент такие проекты могут оказаться ограниченными из-за новых правил распространения, изменений в политике вендора или юридических ограничений.
Наше законодательство в целом оставляет бизнесу время для постепенного импортозамещения: сроки уже переносились — сначала до 2025 года, теперь до 2029-го. Но требования к устранению уязвимостей в системах КИИ остаются жёсткими: известные CVE должны быть закрыты в течение 30 дней. Для бизнеса в любом случае ситуация сложная: внезапная потеря доступа к привычным инструментам или прекращение их поддержки может привести к простоям и значительным дополнительным затратам. Поэтому критически важно иметь «план Б» — заранее выбранные альтернативы и сценарии действий на случай недоступности используемых технологий.
В 2023 году завершилась открытая поддержка мажорных веток Spring Boot 2.7.x и Spring Framework 5.3.x. Даже если компания успела перейти на более свежие версии, с июня 2026 года прекращается OSS-поддержка краткосрочных веток Spring Boot 3.3.x и Spring Framework 6.1.x. Это означает, что больше не будут выходить публичные багфиксы, новые функции и security-патчи.
Основные риски
- Уязвимости безопасности — отсутствие патчей делает систему уязвимой для атак.
- Несоответствие требованиям регуляторов — неподдерживаемое ПО не проходит аудит и создаёт юридические риски.
- Рост стоимости и сложности миграций — с каждым новым циклом обновлений увеличивается объём кода для адаптации, накапливаются несовместимости и технический долг.
Варианты действий для компаний
- Заморозить систему на текущей версии — фактически оставить уязвимости открытыми и надеяться, что критические CVE не будут эксплуатированы.
- Мигрировать каждые полгода на новые OSS-релизы — трудоёмкий и затратный процесс, особенно для крупных систем.
- Выбрать платную поддержку (Enterprise или локальные альтернативы) — минимизация рисков, предсказуемый жизненный цикл и защита инвестиций в ПО, миграция только тогда, когда необходим новый функционал, а не в погоне с релизным циклом бесплатно поддерживаемых версий
Давайте рассмотрим последствия для всех трех вариантов:
Подход 1. Заморозить систему на текущей версии.
Если вы выбрали первый вариант заморозить систему на текущей версии, надо осознавать, что это равносильно согласиться жить с открытыми уязвимостями.
То есть компания принимает риск, что:
- новые CVE будут появляться, но патчей на них уже не будет;
- часть багов может влиять на производительность или стабильность;
- Соответствие нормативным требованиям (ФЗ-152, ФСТЭК, ГОСТ) может быть нарушен, так как используется неподдерживаемое ПО.
На какое время можно «заморозить» без серьёзного вреда?
- Короткий срок (3–6 месяцев): допустимо для «пережидания» миграции, если вы готовите переход или тестируете альтернативы.
- Среднесрочно (6–12 месяцев): резко растут риски. Даже если CVE ещё не появились, аудиты и внутренние проверки уже будут фиксировать нарушения.
- Долгий срок (больше года): фактически неприемлемо, ведь вероятность наличия критических уязвимостей ≈100%, регуляторные риски высоки, а устранение последствий атаки выйдет дороже плановой миграции.
Временная «заморозка»: допустима ли она?
Краткий ответ — практически нет. С точки зрения ФСТЭК любая система в контуре КИИ, даже изолированная, должна своевременно обновляться и защищаться от уязвимостей. «Заморозка» может рассматриваться лишь как очень временная мера, и только при наличии веских обоснований и компенсирующих мер защиты.
К чему обычно сводятся подобные сценарии:
- Внутренние изолированные системы. Например, корпоративная отчётность в закрытом контуре без внешних подключений. Но ФСТЭК оценивает риски вне зависимости от периметра, так что изоляция — это лишь дополнительный аргумент, а не оправдание.
- Низкокритичные сервисы. Сервисы без персональных данных и финансовых транзакций. Однако важно понимать: даже через вспомогательный сервис злоумышленник может пробраться к критичным системам.
- Вспомогательные модули. Где сбой не ведёт к прямым финансовым потерям. Но и тут остаётся риск эксплуатации CVE в качестве «трамплина» для атаки.
Как юридически защитить такую стратегию перед проверяющими органами:
- Документировать риск-модель. Обосновать, почему система временно остаётся на замороженной версии, и какие меры снижению риска применяются.
- Ввести компенсирующие меры.
- Сегментация сети и строгий контроль доступа.
- Межсетевые экраны и IDS/IPS для мониторинга активности.
- Дополнительное журналирование и корреляция событий в SIEM.
- Усиленный контроль администраторских действий.
- Формализовать план миграции. Указать конкретные сроки и шаги выхода из «заморозки».
- Проводить регулярный аудит и сканирование на CVE. Даже если патчи не ставятся, организация обязана демонстрировать, что она отслеживает состояние уязвимостей.
Таким образом, заморозка может быть признана допустимой только как временное исключение — при условии, что оно оформлено документально, подкреплено техническими мерами защиты и сопровождается планом устранения в разумные сроки.
Какие системы замораживать категорически нельзя?
- Клиентские интерфейсы (интернет-банк, мобильное приложение, онлайн-портал).
- Сервисы, работающие с персональными данными или платежами (ФЗ-152, 187-ФЗ).
- Критическая инфраструктура (банки, телеком, госуслуги).
Таким образом, «заморозка» — это временный костыль, а не стратегия.
Риски и издержки “заморозки” Spring для бизнеса
Уязвимости и атаки
По данным Snyk (2025), более 60% всех уязвимостей в Java-приложениях связаны с фреймворками, и Spring не является исключением.
Примеры критических уязвимостей:
- CVE-2023-20863 — позволяет проводить DoS-атаки;
- CVE-2022-22965 (Spring4Shell) — позволяла удалённое выполнение кода (RCE).
Без регулярных патчей бизнес фактически открывает двери для злоумышленников, что особенно критично для финансовых организаций и государственных систем.
Нарушение требований регуляторов
Федеральные законы ФЗ-152 «О персональных данных» и ФЗ-187 «О безопасности критической инфраструктуры», а также многочисленные подзаконные акты, требования ФСТЭК требуют регулярного обновления ПО и устранения уязвимостей. Использование неподдерживаемого ПО, влияющего на безопасность критически важных систем, может привести к нарушению нормативов и штрафам. Для банков и финтеха это чревато потерей лицензии ЦБ.
Прямые финансовые потери
Использование устаревших компонентов увеличивает вероятность сбоев в работе, а незакрытые CVE создают риски утечки данных. По оценке IDC, простой ИТ-системы в банке обходится в среднем в 1 млн ₽ за час. Утечка персональных данных может привести к штрафам до 500 тыс. ₽ за один инцидент и репутационным потерям.
| Риск | Оценочная стоимость |
|---|---|
| Штраф по ФЗ-152 | до 18 млн ₽ |
| Потенциальная утечка данных | до 5% годового оборота |
Технические риски для команд разработки
Корпоративные команды разработки могут столкнуться с рядом проблем: отсутствие обновлений, накопление технического долга и эксплуатация уязвимостей в продуктивных системах.
Несовместимость с новыми версиями JDK
Spring Framework 5.3 и Spring Boot 2.7 остаются совместимыми с современными версиями JDK вплоть до Java 21 включительно (при использовании последних минорных релизов, например 5.3.30 и 2.7.18+). Это позволяет обновлять JDK для повышения безопасности и производительности без немедленной миграции на Spring 6/Boot 3. Однако важно понимать, что такая совместимость ограничена сроком жизни ветки 5.3/2.7: сообщество закрыло их поддержку 31 августа 2024 года, и новые security-фиксы больше не выпускаются. Для долгосрочной перспективы и полной поддержки Jakarta EE потребуется переход на Spring 6 и Spring Boot 3, которые официально поддерживают JDK начиная с 17-й версии.
Проблемы совместимости с библиотеками и зависимостями
Многие современные библиотеки уже требуют Jakarta EE API (например, Hibernate 6.x). Spring 5.3 не поддерживает Jakarta напрямую, что вызывает конфликты и усложняет обновление сторонних зависимостей.
Ограничения при DevOps и Kubernetes
Spring Boot 2.7 плохо взаимодействует с современными Kubernetes-операторами, требуя обходных решений для корректной конфигурации. Это увеличивает сложность эксплуатации и снижает скорость выпуска новых релизов.
Сложности в CI/CD и DevSecOps
Без регулярных обновлений безопасности интеграция в пайплайны DevSecOps становится проблемной: анализаторы кода (SAST/DAST) и композиционного анализа будут фиксировать уязвимости, которые никогда не будут исправлены.
Пример: если в вашем pom.xml используется Spring Boot 2.7.15, после окончания OSS-поддержки (то есть уже сейчас) эта версия останется с открытыми CVE. Без коммерческой поддержки или альтернативных решений обновления безопасности для неё больше не выйдут. В то же время в коммерческих релизах Broadcom (и в Axiom Spring) такие уязвимости закрываются — например, обновлением до Spring Boot 2.7.19+ в рамках той же ветки 2.7.x.
Итог: заморозка на старых версиях Spring является более дорогостоящей и рискованной стратегией по сравнению с переходом на поддерживаемые LTS-версии с гарантированными обновлениями безопасности. Такой подход создаёт технический долг, увеличивает риски уязвимостей и ограничивает возможности для модернизации инфраструктуры.
Миграция: стратегический подход
При миграции компании оказываются перед выбором: следовать короткому OSS-графику обновлений или искать альтернативу долгосрочной коммерческой поддержке Broadcom в России. В обоих случаях необходим стратегический план, включающий ключевые шаги:
- Аудит и инвентаризация — определить приложения на версиях Spring Boot и Spring Framework с завершившейся или близкой к завершению поддержкой, оценить их критичность.
- Приоритизация — в первую очередь обновлять системы с конфиденциальными данными или критичными сервисами.
- Тестирование — настроить среды для проверки совместимости новых версий.
- Постепенный переход — мигрировать поэтапно, чтобы снизить риск сбоев.
- Выбор поддержки LTS или коммерческих альтернатив — чтобы избежать бесконечных апгрейдов и накопления технического долга.
Подход 2. Следование короткому циклу OSS-релизов
Поддержка OSS-веток Spring длится всего 6 месяцев, поэтому каждые полгода компании вынуждены обновлять минорные или мажорные версии, превращая процесс в постоянный проект.
Риски для бизнеса
- Частые проекты миграции — каждые 6 месяцев требуется полноценный апгрейд с тестированием и изменением кода.
- Рост затрат — для крупных банков и ритейла такие проекты могут занимать 6–12 месяцев и стоить десятки миллионов рублей.
- Накопление технического долга — в коде смешиваются старые и новые решения, усложняя поддержку.
- Потеря предсказуемости — невозможно планировать продуктовые релизы: угроза внепланового апгрейда остаётся всегда.
Пример стоимости миграции по OSS-циклу
| Объём проекта | Примерный размер кода | Сроки миграции | Прямые затраты | Что это значит |
|---|---|---|---|---|
| Малый | ~100 KLOC (100 тыс. строк кода) | ~3 месяца | 5–8 млн ₽ | Даже компактные сервисы требуют выделенной команды, настройки окружений, устранения несовместимостей и регрессионного тестирования. |
| Средний | ~500 KLOC | ~6 месяцев | 20–30 млн ₽ | Типично для интернет-банка, ERP или платёжных платформ. Включает переработку бизнес-логики, библиотек, интеграций и проверку критичных сервисов. |
| Крупный | >1 MLOC (миллион строк кода и более) | ~12 месяцев | 50+ млн ₽ | Большие экосистемы с десятками модулей и интеграций. Требуют параллельной работы нескольких команд, создания временных сред и многоуровневого тестирования. |
Для крупных компаний такие миграции могут повторяться каждые 18–24 месяца, создавая дополнительную нагрузку на бюджеты и команды.
Риски для команд разработки
- Частые миграции — каждые полгода команда отвлекается от продуктовой разработки на апгрейд.
- Высокая стоимость сопровождения — тестирование, переписывание кода, обновление зависимостей. У крупных банков это занимает 6–9 месяцев и десятки миллионов рублей.
- Рост технического долга — старые интеграции не всегда переписываются, появляется «смесь» разных поколений кода.
- Риски несовместимости — библиотеки и фреймворки не успевают адаптироваться к новым версиям.
- Потеря предсказуемости — планирование релизов продукта осложняется из-за постоянных обновлений.
Что делать командам разработчиков?
На официальном сайте Spring такой процесс прямо называют «постоянным апгрейдом». Для его упрощения предлагается Spring Application Advisor — коммерческий продукт, который анализирует приложения, генерирует pull-запросы для обновления зависимостей и интегрируется в CI/CD. Он снимает часть рутины, но официально недоступен в России.
Вместо готовых решений вроде Spring Application Advisor российским компаниям приходится собирать процесс обновлений из нескольких инструментов. OpenRewrite можно интегрировать в CI/CD для автоматического обновления зависимостей и частичной миграции кода. Параллельно используются SAST/DAST и SCA-инструменты — они не помогают с самим обновлением, но обеспечивают контроль безопасности и совместимости после внесённых изменений. Такой подход действительно снижает риски, но всё равно требует значительного ручного труда: настройки пайплайнов, проверки автоматически сгенерированных изменений и тщательного тестирования.
Фактически команды оказываются в режиме непрерывных миграций: растут затраты, срываются продуктовые планы, а разработчики быстро выгорают. Для небольших проектов это допустимо, но для банков, финтеха и госсектора — крайне рискованная стратегия.
Подход 3. LTS поддержка Spring. Есть ли альтернатива для компаний в России?
Если бизнес не готов жить в условиях постоянных миграций и ценит стабильность, предсказуемость и долгосрочную поддержку, у него наконец появляется альтернатива. Поскольку коммерческая поддержка Broadcom недоступна в России из-за санкций, мы запускаем Axiom Spring — решение, созданное в ответ на вызовы российских компаний, уже ощутивших последствия коротких OSS-релизов Spring или только готовящихся к ним.
Официальный запуск Axiom Spring запланирован на октябрь 2025 года, но уже сейчас мы готовы раскрыть, что именно войдёт в продукт. Почему мы выпускаем его только сейчас, хотя поддержка Spring была прекращена больше года назад? Всё это время мы тщательно анализировали рынок, проводили исследования и общались с компаниями, чтобы понять, какие сценарии и форматы поддержки действительно востребованы в России. Благодаря этому Axiom Spring выходит не как «экстренная заплатка», а как полноценное решение, рассчитанное на долгосрочную перспективу.
Чем Axiom Spring отличается от OSS-Spring
В OSS-Spring:
- короткий цикл поддержки (≈6 месяцев);
- CVE закрываются частично;
- после EOL версия уязвима.
В Axiom Spring:
- регулярные обновления и фиксы даже для версий, закрытых сообществом;
- синхронизация с Broadcom — без путаницы между версиями;
- собственные патчи и улучшения (включая производительность).
Пример: - В OSS-Spring Boot последняя версия c закрытыми CVE — 2.7.18.
- У Broadcom — релизы с закрытыми CVE до 2.7.29.
- В Axiom Spring поддерживаются все промежуточные версии (2.7.19 … 2.7.29). Это позволяет бизнесу оставаться на удобной версии и при этом получать CVE-фиксы.
Что входит в Axiom Spring
- Spring Framework и Spring Boot (LTS) — долгосрочная поддержка с обновлениями безопасности и фиксов, включая ключевые проекты экосистемы: Spring Data, Spring Security, Spring Cloud и другие.
- Axiom JDK и Axiom JDK Express — надежная среда исполнения Java с расширенной поддержкой и ускоренной версией, позволяющей «поднять» Java 8/11/17 до возможностей JVM 21 без переписывания кода.
- Libercat Embedded — отечественный сервер приложений,
- Комплаенс и сертификация — все компоненты Axiom Spring находятся в реестре российского ПО, при необходимости возможна поставка сертифицированных по ФСТЭК версий компонентов Axiom JDK и Libercat для использования в ЗОКИИ.
Что это значит для разработчиков
- Стабильность — можно оставаться на нужной версии без срочных апгрейдов.
-
Безопасность — фокус на исправлении уязвимостей и критических ошибок (приоритет на backport-патч), не меняя бизнес-логику сервиса. Функциональные правки выполняются лишь в исключительных случаях и только после тщательного тестирования и согласования, чтобы избежать регрессий.
- Контроль обновлений — обновления ставятся тогда, когда это нужно бизнесу, а не OSS-графику.
- Фокус на продукте — разработчики сосредотачиваются на создании новых сервисов и улучшении пользовательского опыта, вместо того чтобы тратить месяцы на технические апгрейды.
- Предсказуемость — команда разработки получает стабильный цикл обновлений и контроль над сроками масштабных миграций, снижая риск внезапных сбоев и авральных релизов.
Что это значит для бизнеса
- Экономия — стоимость поддержки меньше годовой зарплаты двух разработчиков, при этом миграции обходятся в десятки миллионов ₽ и 6–12 месяцев работы.
- Соответствие регуляторам — регулярные CVE-фиксы и проверка по ГОСТ Р 56939-2024.
- Снижение рисков — меньше регрессий и срывов релизов.
- Сфокусированность — команды создают новые сервисы для клиентов, вместо того чтобы поддерживать инфраструктуру.
Spring Framework - дорожная карта поддержки и обновлений Axiom Spring
| Версии Spring Framework | Дата релиза | Завершение поддержки сообществом Spring (OSS Support) | Завершение коммерческой поддержки Broadcom (Enterprise Support) | Завершение поддержки Axiom Spring | Версии JDK | Версии Java EE |
|---|---|---|---|---|---|---|
| 7.0.x новое поколение | Ноябрь 2025 | Июнь 2027 | Июнь 2028 | Июнь 2027 Пересборка по РБПО | JDK 17-27 | Jakarta EE 11 |
| 6.2.x ветка с доработанным функционалом | Ноябрь 2024 | Июнь 2026 | Июнь 2032 | Июнь 2032 | JDK 17-25 | Jakarta EE 9-10 |
| 6.1.x основной релиз | Ноябрь 2023 | Июнь 2025 | Июнь 2026 | Июнь 2025 Пересборка по РБПО | JDK 17-23 | Jakarta EE 9-10 |
| 6.0.x новый фреймворк с ноября 2022, с поддержкой JDK 17 и Jakarta EE 9 | Ноябрь 2022 | Июнь 2024 | Июнь 2025 | Июнь 2024 Пересборка по РБПО | JDK 17-21 | Jakarta EE 9-10 |
| 5.3.x финальный релиз 5го поколения, с долгосрочной поддержкой JDK 8, 11,17, и Java EE 8. (до 5.3.26) | Октябрь 2020 | Июнь 2023 | Июнь 2029 | Июнь 2029 | JDK 8-17 | Java EE 7-8 (javax) |
| Версия | Релиз | Конец OSS поддержки | Broadcom Enterprise* | Axiom Spring |
|---|---|---|---|---|
| 4.0.x | Ноябрь 2025 | Декабрь 2026 | Декабрь 2027 | Пересборка по РБПО поддержка до Декабря 2026 |
| 3.5.x (LTS) | Май 2025 | Июнь 2026 | Июнь 2032 | LTS-поддержка до Июня 2032 |
| 3.4.x | Ноябрь 2024 | Декабрь 2025 | Декабрь 2026 | Пересборка по РБПО поддержка до Декабря 2025 |
| 3.3.x | Май 2024 | Июнь 2025 | Июнь 2026 | Пересборка по РБПО подержка до Июня 2025 |
| 3.2.x | Ноябрь 2023 | Декабрь 2024 | Декабрь 2025 | Пересборка по РБПО поеддежка до Декабр] 2024 |
| 3.1.x | Май 2023 | Июнь 2024 | Июнь 2025 | Пересборка по РБПО поддержка до Июня 2024 |
| 3.0.x | Ноябрь 2022 | Декабрь 2023 | Декабрь 2024 | Пересборка по РБПО поддержка до Декабря 2023 |
| 2.7.x (LTS) | Май 2022 | Июнь 2023 | Июнь 2029 | LTS-поддержка до Июня 2029 |
Сравнение стратегий поддержки Spring в России
| Подход | Для бизнеса | Для команд разработки |
|---|---|---|
| 1. Заморозка на текущих версиях | 🔴 Высокие риски ИБ: открытые CVE, угрозы утечек и штрафы. 🔴 Несоответствие ФЗ-152 и требованиям регуляторов. 🟠 Экономия бюджета в краткосрочной перспективе, но потенциально огромные потери при инцидентах. |
🔴 Работа на устаревшем стеке. 🔴 Несовместимость с новыми JDK и библиотеками. 🔴 Рост технического долга. 🟠 Поддержка своими силами = «костыли» и хаос. |
| 2. Миграция на OSS-релизы каждые 6 мес. | 🔴 Затраты: каждая миграция = проект на миллионы ₽. 🔴 Невозможно планировать долгосрочно: команда занята апгрейдами, а не продуктом. 🟠 Частичная защита — уязвимости закрываются только пока версия в OSS-поддержке. |
🔴 «Вечный апгрейд»: каждые 6 месяцев новый релиз. 🔴 Выгорание команды — вместо развития продукта бесконечные апгрейды. 🔴 Проблемы совместимости библиотек. 🟠 Есть доступ к последним фичам Spring, но ценой постоянных переделок. |
| 3. Axiom Spring (LTS в России) | 🟢 Регулярные обновления и CVE-фиксы даже для закрытых веток. 🟢 Соответствие требованиям регуляторов. 🟢 Экономия: миграции только по бизнес-необходимости, сокращение затрат до десятков млн ₽. 🟢 Предсказуемость расходов (подписка вместо форс-мажоров). |
🟢 Стабильный стек: работа на привычной версии без навязанных апгрейдов. 🟢 Совместимость с Axiom JDK и LiberCAT. 🟢 Меньше технического долга, релизы без срывов. 🟢 Фокус на бизнес-фичах вместо бесконечной гонки за OSS-графиком. |
Таким образом:
-
Заморозка даёт краткосрочную экономию, но влечёт за собой максимальные риски безопасности и накопление технического долга.
-
Следование OSS-релизам каждые полгода обеспечивает лишь частичную защиту, но требует значительных ресурсов и постоянных миграций.
-
Axiom Spring остаётся единственным доступным в России вариантом долгосрочной поддержки Spring, объединяющим стабильность, безопасность и предсказуемость.
Очевидно, что на практике компании будут применять гибридный подход: часть систем можно временно заморозить, для отдельных — протестировать модель с OSS-релизами, а наиболее критичные сервисы целесообразно перевести на LTS-поддержку, например, с Axiom Spring. Тщательный аудит инфраструктуры и инструментов разработки позволит сбалансировать затраты и риски, сохранив при этом фокус на развитии бизнеса, а не на бесконечных миграциях.
Заключение
Spring остаётся фундаментом российской Java-разработки: тысячи сервисов и критически важных приложений зависят от него каждый день.
Однако после окончания поддержки OSS-веток и недоступности коммерческого Enterprise Support от Broadcom, перед компаниями встает вопрос — как продолжать работать безопасно и предсказуемо?
Axiom Spring — это не копия OSS-версий, а локальная альтернатива с долгосрочной поддержкой, исправлениями уязвимостей и проверенными библиотеками.
Он сочетает надёжность LTS-модели и совместимость с доверенным репозиторием, обеспечивая компаниям:
- устойчивость и соответствие требованиям регуляторов,
- предсказуемые расходы вместо форс-мажорных затрат на миграции,
- стабильную и удобную среду разработки без риска остаться на неподдерживаемой платформе.
Для бизнеса это — защита приложений и экономия миллионов рублей на миграциях.
Для разработчиков — привычный стек, меньше технического долга и больше времени на развитие продукта.
Получается, что Axiom Spring сегодня — единственный путь к безопасной и долгосрочной поддержке Spring в России.
Следующий шаг для вашей компании
Проверьте, поддерживается ли ваша версия Spring — и узнайте, как Axiom Spring может продлить её жизненный цикл и сделать ее более безопасной..
