Noticias & Conteúdo
Imagina a cena: você está numa entrevista para uma vaga sênior de Java, tudo correndo bem, e o entrevistador solta a pergunta que separa quem decorou tutorial de quem já apanhou em produção. "Como você protege os segredos do seu Spring Cloud Config Server num cluster Kubernetes?" Você começa a falar de criptografia de propriedades, e ele te corta: "E o que você faria diante da CVE-2026-40981?"
Em 6 de maio de 2026 saíram duas falhas de severidade ALTA no Spring Cloud Config Server. Uma delas, a CVE-2026-40981, deixa qualquer cliente com acesso de rede ler segredos de qualquer projeto GCP usando um único header HTTP, sem autenticação nenhuma (CVSS 7.5). A outra, a CVE-2026-41002, abre o repositório Git do servidor a um ataque de tempo-de-checagem contra tempo-de-uso (TOCTOU). Neste artigo você vai entender o vetor de cada uma, ver o código que demonstra o problema, aplicar o patch certo e, de quebra, ficar pronto para aquela pergunta de entrevista.
- Detalhes
- Escrito por: Jorge Demetrio
- Categoria Pai: Linguagem de programação
- Categoria: Java
- Acessos: 45
Voce mandou curriculo para 5 vagas senior esse mes. Todas tinham descricoes parecidas: Spring Boot, Kubernetes, AWS. Voce conhece esses caras de cor. Mas ai apareceu uma linha que voce leu duas vezes: "experiencia com Platform Engineering e IDPs". IDP? Voce pausou. Abriu o Google. "Internal Developer Platform". Um conceito que voce nao estudou, que nao estava nas suas aulas, que nao apareceu no trabalho atual. E ali voce percebeu: o mercado virou de pagina e ningum te avisou.
- Detalhes
- Escrito por: Jorge Demetrio
- Categoria: Noticias & Conteúdo
- Acessos: 51
Você habilitou Virtual Threads no Spring Boot, botou spring.threads.virtual.enabled=true no application.yaml, subiu a aplicação em produção e... nada. O throughput melhorou uns 10%, a latência sob carga continua a mesma, e os alertas de "pool esgotado" ainda aparecem às sextas-feiras. Você fez tudo certo pelo livro. E mesmo assim não funcionou como prometido.
- Detalhes
- Escrito por: Jorge Demetrio
- Categoria Pai: Linguagem de programação
- Categoria: Java
- Acessos: 47
Existe uma forma de gerenciar toda a infraestrutura Kubernetes com código Java real, tipado, testável e versionável no Git. A maioria das equipes Spring Boot ainda não sabe que o Pulumi Java SDK permite isso. Sem YAML de 400 linhas. Sem "funciona na minha máquina". Infra como código de verdade.
- Detalhes
- Escrito por: Jorge Demetrio
- Categoria: Noticias & Conteúdo
-
Também disponível:
- Acessos: 43
Toda vaga de Dev Java sênior em 2026 pede experiência com segurança de APIs REST. Mas quando o entrevistador pergunta "você já trabalhou com um bypass de autorização?", a maioria responde com teoria. Os candidatos que chegam com um caso real, com código, exploit e fix, são os que passam para a próxima fase.
O CVE-2026-39852 do Quarkus é exatamente esse caso. Uma vulnerabilidade crítica que afeta todas as versões antes de 3.34.7 (LTS) e 3.35.2 (main): um atacante acessa /api/admin;bypass e toda a sua configuração de @RolesAllowed vira pó, com o CI verde e os testes passando normalmente.
- Detalhes
- Escrito por: Jorge Demetrio
- Categoria Pai: Linguagem de programação
- Categoria: Java
- Acessos: 47
Era segunda-feira de manha, build verde no CI, ninguem tocou nos testes em semanas. Voce atualiza a versao do Spring Boot no pom.xml, empurra o commit e vai buscar um cafe. Quando volta: 47 testes falhando. ClassNotFoundException: org.junit.platform.runner.JUnitPlatform. A pipeline quebrando antes mesmo de chegar no deploy. Aqui esta a causa raiz, e ela nao esta no seu codigo de negocio.
O JUnit 6 foi lancado em setembro de 2025 e o Spring Boot 4 ja assume JUnit 6 como padrao. Quem esta atualizando o ecossistema Spring sem preparar a suite de testes esta tomando um choque que nao estava no changelog. Nesse artigo voce vai entender exatamente o que mudou, o que vai quebrar e como fazer a migracao sem drama.
- Detalhes
- Escrito por: Jorge Demetrio
- Categoria Pai: Linguagem de programação
- Categoria: Java
- Acessos: 52
Você tem dashboards impecáveis. Traces no Jaeger, métricas no Grafana, logs indexados no Loki. Tudo verde. Mas a aplicação está lenta de um jeito que nenhum span consegue explicar. CPU a 80% no pod, latência subindo, e nenhum trace apontando o culpado. Isso aconteceu comigo mais de uma vez como Tech Leader, e a resposta que eu precisava não estava nas três ferramentas que eu já tinha.
O problema é que traces, métricas e logs respondem perguntas diferentes: onde a lentidão aconteceu, o que o sistema fez, e por que algo foi logado. Mas nenhum deles responde: qual método está consumindo CPU nesse momento? Pois bem, o OpenTelemetry acabou de lançar o 4o sinal que resolve exatamente isso, e o melhor de tudo: o coletor de dados já está no seu JDK desde o Java 11. Bora ver como funciona.
- Detalhes
- Escrito por: Jorge Demetrio
- Categoria: Noticias & Conteúdo
- Acessos: 49
Você tem dashboards impecáveis. Traces no Jaeger, métricas no Grafana, logs indexados no Loki. Tudo verde. Mas a aplicação está lenta de um jeito que nenhum span consegue explicar. CPU a 80% no pod, latência subindo, e nenhum trace apontando o culpado. Isso aconteceu comigo mais de uma vez como Tech Leader, e a resposta que eu precisava não estava nas três ferramentas que eu já tinha.
O problema é que traces, métricas e logs respondem perguntas diferentes: onde a lentidão aconteceu, o que o sistema fez, e por que algo foi logado. Mas nenhum deles responde: qual método está consumindo CPU nesse momento? Pois bem, o OpenTelemetry acabou de lançar o 4o sinal que resolve exatamente isso, e o melhor de tudo: o coletor de dados já está no seu JDK desde o Java 11. Bora ver como funciona.
- Detalhes
- Escrito por: Jorge Demetrio
- Categoria: Noticias & Conteúdo
- Acessos: 42
Era 11h de sexta quando o time de plataforma percebeu que o ArgoCD estava reconciliando um estado errado. Ninguem sabia de onde veio a mudanca. Ninguem conseguia rastrear quem aprovou o PR. O cluster de producao estava num estado diferente do que o Git dizia que deveria estar, e a "fonte unica da verdade" tinha virado fonte de confusao.
- Detalhes
- Escrito por: Jorge Demetrio
- Categoria: Noticias & Conteúdo
-
Também disponível:
- Acessos: 41
95% dos devs Java integram IA como caixa preta. Os 5% que ativam o Thinking Mode do Claude 4 no Spring Boot tomam decisoes arquiteturais em segundos.
Existe uma forma de adicionar raciocinio arquitetural ao seu sistema Spring Boot sem precisar implementar uma IA do zero. A maioria dos devs Java ainda nao descobriu que o Spring AI ja suporta o Thinking Mode do Claude 4, que expoe o processo de raciocinio do modelo antes de dar a resposta final. Bora ver como isso funciona na pratica.
- Detalhes
- Escrito por: Jorge Demetrio
- Categoria Pai: Linguagem de programação
- Categoria: Java
- Acessos: 37
Existe uma forma de ter traces, métricas e logs correlacionados no Kubernetes sem instalar agente Java, sem configurar sidecar manualmente e sem escrever uma linha de instrumentação. A maioria dos times ainda não habilitou o starter que o Spring Boot 4 trouxe. Uma dependência no pom.xml e o OpenTelemetry Operator cuida do resto.
Com o Spring Framework 7.0.7 (lançado em abril de 2026), o ecossistema Spring finalmente tem observabilidade de produção built-in. Neste artigo você vai ver como configurar do zero, com código funcional de um serviço Spring Boot 4 rodando em Kubernetes, sem mágica e sem ferramenta extra além do que o próprio starter já entrega.
- Detalhes
- Escrito por: Jorge Demetrio
- Categoria Pai: Linguagem de programação
- Categoria: Java
- Acessos: 51
Você ainda usa IPVS no seu kube-proxy? Ele foi removido no Kubernetes 1.36. E se você usa APIs deprecated que foram aposentadas nessa versão, seus CronJobs Java podem parar de funcionar silenciosamente. É exatamente o tipo de erro que só aparece em produção, nunca em staging.
O Kubernetes 1.36 ("Haru") foi lançado em abril de 2026 com 70 enhancements, e hoje saiu o patch 1.36.1. Tem mudanças que quebram pipelines Java se você atualizar sem checar. Aqui está o checklist completo antes de você apertar o botão de upgrade.
- Detalhes
- Escrito por: Jorge Demetrio
- Categoria Pai: Desenvolvimento
- Categoria: DevOps
- Acessos: 55
A maioria dos devs Java ainda configura observabilidade manualmente — 8 dependências, logback-spring.xml customizado e horas de debug para traces que nem aparecem nos logs. Existe uma solução mais inteligente: o spring-boot-starter-opentelemetry do Spring Boot 4 entrega traces distribuídos, métricas OTLP e logs correlacionados com 1 dependência e 15 linhas de YAML. Descubra como implementar observabilidade de nível enterprise na sua API Java hoje.
- Detalhes
- Escrito por: Jorge Demetrio
- Categoria Pai: Linguagem de programação
- Categoria: Java
- Acessos: 49