我们使用spring boot 2.1.5和starter parent作为pom依赖项。
Spring启动使用默认的日志回馈进行日志记录,我们尚未显式切换到Log4j2或更改任何配置。下面是我们的项目依赖关系树。
我们的项目中有很多lombok@log4j2注释。但是,我们在依赖关系树中发现我们没有任何log4j2-core jar依赖项(发现它容易受到最近log4j问题的影响)。
@Log4j2
@Service
@DependsOn("applicationDependencyCheck")
lombok@log4j2不依赖于log4j2-core.jar.假设这将显示在maven依赖树中是正确的还是我们错过了什么。
这是我们的龙目岛词条-
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<optional>true</optional>
</dependency>
请分享一些见解。
谢谢
在龙目岛文档中,您可以在此处找到它 https://projectlombok.org/api/lombok/extern/log4j/Log4j2.html
@Log4j2公共类LogExample { }
将生成:
公共类LogExample{private static final org.apache.logging.log4j.Logger log=org.apachi.loging.log4j.LogManager.getLogger(LogExample.class);}
这两个类都存在于log4j API jar中
此处未列出任何已知漏洞https://mvnrepository . com/artifact/org . Apache . logging . log4j/log4j-API
如这里所述 https://logging.apache.org/log4j/2.x/log4j-api/index.html log4j api只是一个接口。
我认为在这种情况下,您的代码不依赖于log4j核心。您可以仔细检查构建的输出(例如maven /target文件夹,war文件等)
当然,@Mariusz W.的答案是最好的。
尽管如此,我注意到你的打印显示依赖于logback-core-1.2.3 [1],其中有CVE-2021-42550漏洞[2]。
注意那个。
