Slf4j 库排除 log4j 的 Sonatype 安全漏洞
Slf4j library exclude log4j for Sonatype security vulnerability
在我们的 Sonatype 安全漏洞扫描中,我们将 log4j:1.2.17 视为安全威胁。 log4j 似乎作为 slf4j-log4j12 的一部分出现,这是我们在代码中使用的库。我想在 pom.xml 中排除 log4j,所以它会是这样的:
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-log4j12</artifactId>
<version>1.7.30</version>
<exclusions>
<exclusion>
<artifactId>log4j</artifactId>
<groupId>log4j</groupId>
</exclusion>
</exclusions>
</dependency>
编译并运行ning 项目,似乎工作正常。我只是想知道像这样排除图书馆会有什么副作用?我们会得到 运行 次错误吗?如果能提供这方面的任何信息,我们将不胜感激。
我遇到了完全相同的问题。它不会产生任何运行时错误。
我对 pom 的依赖是这样的
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-log4j12</artifactId>
<exclusions>
<exclusion>
<groupId>log4j</groupId>
<artifactId>log4j</artifactId>
</exclusion>
</exclusions>
</dependency>
在我们的 Sonatype 安全漏洞扫描中,我们将 log4j:1.2.17 视为安全威胁。 log4j 似乎作为 slf4j-log4j12 的一部分出现,这是我们在代码中使用的库。我想在 pom.xml 中排除 log4j,所以它会是这样的:
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-log4j12</artifactId>
<version>1.7.30</version>
<exclusions>
<exclusion>
<artifactId>log4j</artifactId>
<groupId>log4j</groupId>
</exclusion>
</exclusions>
</dependency>
编译并运行ning 项目,似乎工作正常。我只是想知道像这样排除图书馆会有什么副作用?我们会得到 运行 次错误吗?如果能提供这方面的任何信息,我们将不胜感激。
我遇到了完全相同的问题。它不会产生任何运行时错误。 我对 pom 的依赖是这样的
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-log4j12</artifactId>
<exclusions>
<exclusion>
<groupId>log4j</groupId>
<artifactId>log4j</artifactId>
</exclusion>
</exclusions>
</dependency>