简介:去年的Log4j-core的安全问题,再次把供应链安全推向了高潮。在供应链安全的场景,蚂蚁集团在静态代码扫描平台-STC和资产威胁透视平台-哈勃这2款产品在联合合作下,优势互补,很好的解决了直接依赖和间接依赖的场景。但是由于STC是基于事前,受限于扫描效率存在遗漏的风险面,而哈勃又是基于事后,存在修复时间上的风险。...
经过去年的Log4j-core的治理工作,我们通过Maven的依赖仲裁机制,在蚂蚁集团静态代码扫描平台-STC 和资产威胁透视-哈勃2款产品的联动合作下,很好的完成了直接依赖和间接依赖场景下的治理工作。但路还很远,新的场景层出不穷,故事还远远没有结束,我们要做的事情还非常多。 新的故事 在今年的某一天,一位好朋友找到了我...
mvn_repo\org\apache\logging\log4j\log4j-api\2.19.0\log4j-api-2.19.0.jar;D:\SoftwareDownloading\Maven\mvn_repo\log4j\log4j\1.2.17\log4j-1.2.17.jar"com.intellij.rt.junit.JUnitStarter-ideVersion5-junit4com.jason.test.UserTest DEBUG [main]-Logging initialized using'class org.apache.ibatis.loggi...
在pom.xml文件中,添加log4j的依赖: <dependencies><dependency><groupId>org.apache.logging.log4j</groupId><artifactId>log4j-core</artifactId><version>${log4j.version}</version></dependency><dependency><groupId>org.apache.logging.log4j</groupId><artifactId>log4j-api</artifactId><version>${log4j.ve...
maven项目引入log4j2 依赖: <dependency><groupId>org.apache.logging.log4j</groupId><artifactId>log4j-core</artifactId><version>2.20.0</version></dependency><dependency><groupId>org.apache.logging.log4j</groupId><artifactId>log4j-api</artifactId><version>2.20.0</version></dependency>...
Springboot中slf4j+log4j2的使用 1.导入pom 2023.3.20,此时的最新版是2.20.0,这个版本里不再需要引入slf4j-api了。 <!-- 日志相关 - Start --> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-core</artifactId> <version>2.20.0</version> </dependency> <!-- log4j2...
要使用log4j,首先在pom.xml中添加依赖,Maven中 log4j有两个依赖需要配置,见官网文档,如下: <dependency><groupId>org.apache.logging.log4j</groupId><artifactId>log4j-api</artifactId><version>2.8.2</version></dependency><dependency><groupId>org.apache.logging.log4j</groupId><artifactId>log4j-core</...
不过Google稍后指出,这3.5万是根据原先CVE公告,将依赖log4j-core及log4j-api的Java组件列入计算。之后,CVE公告澄清只有log4j-core有Log4j漏洞影响。截至12月19日,因log4j-core相依而受影响的Java组件有1.7万余个,占所有Maven Central Java组件约4%。Google以Java组件是否升级到2.16.0(最新版为2.17.0)或...
log4j-core本身是依赖了log4j-api的,但是因为一些其他的模块也依赖了log4j-api,并且两个log4j-api版本不同,所以我们使用标签排除掉log4j-core所依赖的log4j-api,这样Maven就不会下载log4j-core所依赖的log4j-api了,也就保证了我们的项目中只有一个版本的log4j-api。
实际使用的时候,只需要依赖log4j-core.jarjar包就可以了,因为maven会自动为我们下载log4j-core.jar所依赖的jar包```log4j-api```。 Log4j 1.x API桥梁 如果现有组件使用Log4j 1.x,并且希望将此日志记录路由到Log4j 2,则删除任何log4j 1.x依赖项并添加以下内容。 pom...