本次更新要点

Spring Boot 4.0.5 版本主要包含 17 个漏洞修复、文档改进和依赖升级重点说说 Spring Boot 4.0.4 版本一些主要的更新要点。1、ZipkinSpanExporter 已被弃用OpenTelemetry 规范已经弃用 Zipkin 导出器预计该构件将在 2026 年中旬停止发布。因为 OpenTelemetry 官方推荐使用OpenTelemetry Protocol作为统一标准传输协议原有的导出器就变得多余了所以官方不再推荐使用导出器了这样也能降低维护成本。应用只负责将标准化数据推送到 OpenTelemetry Collector再由 Collector 负责数据转换并路由给后端的 Zipkin。这样实现了解耦也让应用层更专注于生成和发送数据而不需要关心后端的具体实现细节了。所以Spring Boot 中的 OpenTelemetry 的ZipkinSpanExporter也相应被弃用了相关的类和自动配置将会在 Spring Boot 4.2 版本中彻底移除。具体可以参考问题https://github.com/spring-projects/spring-boot/issues/494532、Jackson 依赖升级Jackson 已停止对 2.20.x、3.0.x 版本的支持所以Jackson 2 已升级到了最新的 2.21.1 版本Jackson 3 已升级到了最新的 3.1.0 版本。Jackson 3 是一个彻底抛弃历史包袱、面向未来的主版本它的核心使命是全面拥抱现代 Java 生态包括原生支持 Java 模块化系统、全面迁移至 Jakarta EE 命名空间以及清理过去十几年积累的废弃 API。注意Spring Boot 4.0 已经把Jackson 3 调整为首选的 JSON 库Jackson 2 被标记为弃用 。更多可以参考文章Spring Boot 4.0 正式发布王炸3、Tomcat 参数调整Tomcat 的server.tomcat.max-part-count配置项的默认值已从10提升至50现在和 Tomcat 自身的默认值以及 Spring Boot 3.x 的默认设置保持一致了。这个参数控制的是multipart/form-data请求中允许的最大 Part 数量对应表单中的普通字段数或上传的文件数之前的默认值为 10 过于保守容易在处理包含多个输入框或多图上传的复杂表单时触发上传异常。所以将默认值恢复到 Spring Boot 3.x 中的默认值 50 后Spring Boot 就能更好地支持复杂表单的上传了减少了开发者在处理 multipart 请求时遇到的问题。4、漏洞修复另外还有 67 个 bug 修复特别是修复了 “CVE-2026-22731: Actuator Health 组路径下的身份验证绕过” 和 “CVE-2026-22733: Actuator CloudFoundry 端点下的身份验证绕过” 等两个安全问题。除此之外就是文档优化、更多依赖升级等常规维护内容了。除了更新 Spring Boot 4.0.x 版本线另外还有Spring Boot 3.5.13 和 Spring Boot 4.1.0-M4也已经发布了相信过不了太久Spring Boot 4.1.0 正式版就要发布了R哥到时会同步更新大家可以关注一下。现在的所有在维护的Spring Boot 版本都已经升级到了 Java 17 了最高兼容到 Java 25 了大家还停留在 Java 8 的话建议尽快升级到 Java 17这样才能享受到 Spring Boot 4.x 的新特性和性能提升。