前一段apache log4j2 的漏洞闹得沸沸扬扬,影响范围是Log4j 2.x <= 2.15.1-rc1,我们用的是2.12 ,所以我也是紧急切换移除了log4j2, 切换回了logback ,以后版本修复以后可以切换新版本log4j2 ,我搭建的项目是基于alibaba nacos生态圈,其中很多第三方的spring-boot-starter内部其实以及依赖了log4j-api ,一个个排查肯定是没效率的,我用的是idea的插件 maven helper
大部分应该都接触过,这个可以很方便的查询依赖树,以及冲突版本,首先我先排查下log4j-api的依赖大体都是spring-boot-starter 对其的依赖具体就过多描述了,就举其中一个例子
可以看见以来了2.12版本log4j-api,只需要右键exclude 就可以了,另外如果该jar是一个共通依赖
那么尽量让其在<dependencyManagement>中进行版本维护,这样如果移除依赖只需要如下这样就可以了,其他使用端无需任何修改
