java - 如何在 Maven 构建期间删除/排除 Log4j？-6ren

java - 如何在 Maven 构建期间删除/排除 Log4j？

转载作者：行者123 更新时间：2023-12-05 01:54:42

28

4

您好，由于 log4j 2.10 或更高版本中的漏洞问题，我们需要在我们的应用程序之一中删除上述 jar 文件。我在我的 pom.xml 中尝试过这个但遇到了一些错误。我在构建 Maven 项目方面没有太多经验:(

 <?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.0.3.RELEASE</version>
        <relativePath /> <!-- lookup parent from repository -->
    </parent>
    <name>assistant</name>
    <description>Assistant</description>
    
    <groupId>com.assistant</groupId>
    <artifactId>assistant</artifactId>
    <packaging>war</packaging>
    <version>2.0.2</version>

    <properties>
        <java.version>1.8</java.version>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-tomcat</artifactId>
            <scope>provided</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.data</groupId>
            <artifactId>spring-data-solr</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-devtools</artifactId>
            <scope>runtime</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.webjars</groupId>
            <artifactId>bootstrap</artifactId>
            <version>4.3.1</version>
        </dependency>
        <dependency>
            <groupId>org.webjars</groupId>
            <artifactId>jquery</artifactId>
            <version>3.3.1</version>
        </dependency>
        <dependency>
            <groupId>org.webjars</groupId>
            <artifactId>font-awesome</artifactId>
            <version>5.7.2</version>
        </dependency>
        <dependency>
            <groupId>javax.el</groupId>
            <artifactId>javax.el-api</artifactId>
            <version>3.0.0</version>
        </dependency>

        <!-- WORDPRESS DEPENDENCIES START-->
        <dependency>
            <groupId>org.kamranzafar.spring.wpapi</groupId>
            <artifactId>spring-wpapi-client</artifactId>
            <version>0.1</version>
        </dependency>
        <!-- WORDPRESS DEPENDENCIES END -->
        
         
    </dependencies>
    
    

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
                 <configuration>
                    <excludes>
                        <exclude>
                            <groupId>log4j</groupId>
                            <artifactId>log4j</artifactId>
                        </exclude>
                    </excludes>
                </configuration>
            </plugin>
        </plugins>
        
    </build>

</project>

这是标记中的错误

非常感谢您的帮助

最佳答案

首先简要概述一下 log4j 最近的漏洞。

Log4J 2.15.0存在严重漏洞CVE-2021-44228(远程代码执行)
Log4J 2.16.0存在严重漏洞CVE-2021-44228(远程代码执行)
Log4J 2.16.0 还存在漏洞 CVE-2021-45105(DoS 漏洞)
编辑: log4j-api-2.17.0 上存在 CVE-2021-44832 漏洞，并且log4j-to-slf4j-2.17.0 上的 CVE-2021-44832 漏洞。但是这2漏洞并不严重。还是建议升级到 2.17.1

建议您升级到2.17.0或更高版本。

此版本 (2.17.0) 包含针对两个远程代码执行漏洞(最新的 DoS 漏洞)的安全修复程序。

您正在使用 spring-boot-starter-web。因此，升级到 log4j 2.17.1 的一个好方法是通过 spring boot 依赖管理。只需覆盖 pom.xml 属性部分中的 log4j 版本(无需在插件或依赖项部分中执行任何操作):

 <properties>
        <java.version>1.8</java.version>
        <log4j2.version>2.17.1</log4j2.version>
 </properties>

https://snyk.io/blog/log4j-2-15-vulnerability-cve-2021-45046-critical-ace/

如果您真的只想排除 log4j 依赖项(这样您可能不会丢失所有日志记录功能，除非您用另一个日志记录框架替换 log4j):

执行maven 命令mvn dependency:tree

这将显示 Maven 依赖层次结构。所以你只需要排除不需要的依赖项。例如:

  <dependencies>
    ...
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter</artifactId>
        <exclusions>
            <exclusion>
                <artifactId>log4j-to-slf4j</artifactId>
                <groupId>org.apache.logging.log4j</groupId>
            </exclusion>
        </exclusions>
    </dependency>
    ...

</dependencies>

关于java - 如何在 Maven 构建期间删除/排除 Log4j？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/70573584/

28

4

0

文章推荐： node.js - 如何在我的 Dockerfile 中添加 discovery.type=single-node

文章推荐： python - Tensorflow:如何提取 attention_scores 用于绘图？

文章推荐： html - 如何在文本之外应用背景

文章推荐： javascript - 如何修复下拉列表中项目的显示？

javascript - 为什么 i^=j^=i^=j 不等于 *i^=*j^=*i^=*j
在C语言中，当有变量(假设都是int)i小于j时，我们可以用等式 i^=j^=i^=j 交换两个变量的值。例如，令int i = 3，j = 5；在计算 i^=j^=i^=j 之后，我有 i = 5，
c - 查找满足 i < j 且 A[i]**A[j] > A[j]**A[i] 的对 (A[i], A[j]) 的数量
我为以下问题编写了以下代码: 给定一个由 N 个正整数组成的序列 A，编写一个程序来查找满足 i > A[j]A[i](A[i] 的 A[j] 次方 > A[j] 的 A[i] 次方)。我的代码通过
java - 表达式j+=j-=j*j和j+=j*=j-=j的结果和解析结果是什么？ (多个等于)
这个表达式是从左到右解析的吗？我试图解释解析的结果，但最后的结果是错误的。 int j=10, k=10; j+=j-=j*=j; //j=j+(j-=j*=j)=j+(j-j*j) k+=k*=
c++ - 给定索引 i,j(j>=i) 如何找到子数组 (i,j) 中 A[j] 的频率？
给定一个整数数组 A ，我试图找出在给定位置 j ，A[j] 从每个 i=0 到 i=j 在 A 中出现了多少次。我设计了一个如下所示的解决方案 map CF[400005]; for(int i=0
arrays - 最大化 A[i]*B[i] + A[i]*B[j] + A[j]*B[j], i != j，给定两个正整数的无序列表
你能帮我算法吗: 给定 2 个相同大小的数组 a[]和 b[]具有大于或等于 1 的整数。查找不相等的索引 i和 j ( i != j ) 使得值 -max(a[i]*b[i] + a[i] * b
j - J 中的内存
每次用J的M.副词，性能显着下降。因为我怀疑艾弗森和许比我聪明得多，我一定是做错了什么。考虑 Collatz conjecture .这里似乎有各种各样的内存机会，但不管我放在哪里M. ，性能太差了
j - J 中的链式动词
假设一个包含各种类型的盒装矩阵: matrix =: ('abc';'defgh';23),:('foo';'bar';45) matrix +---+-----+--+|abc|defgh|23|+
c - 是否有可能对于两个正整数 i 和 j，(-i)/j 不等于 -(i/j)？
是否有可能对于两个正整数 i 和 j，(-i)/j 不等于 -(i/j)？我不知道这是否可能......我认为这将是关于位的东西，或者 char 类型的溢出或其他东西，但我找不到它。有什么想法吗？最
j - J 中不等数组的唯一对
假设两个不同大小的数组: N0 =: i. 50 N1 =: i. 500 应该有一种方法可以获得唯一的对，只需将两者结合起来即可。我发现的“最简单”是: ]$R =: |:,"2 |: (,.N0)
j - J 中是否实现了三次样条插值方法？
我是 J 的新用户，我只是想知道 J 包中是否实现了三次样条插值方法？最佳答案我自己不熟悉，但是我确实安装了所有的包，所以 $ rg -l -i spline /usr/share/j/9.02
j - J 中的每个前置副词
在 Q/kdb 中，您可以使用 ': 轻松修改动词，它代表每个优先级。它会将动词应用于一个元素及其之前的邻居。例如 =': 检查值对是否相等。在 J 中，您可以轻松折叠 /\ 但它是累积的，是否有成对
matlab - 如何在 MATLAB 中将矩阵变为 1+j、1-j、-1+j、-1-j
嗨，我有一个 4x4 双矩阵 A 1+2i 2-1i -3-2i -1+4i 3-1i -3+2i 1-3i -1-3i 4+3i 3+5i 1-2i -1-4i
j - J 中的欧拉恒等式
刚刚发现 J 语言，我输入: 1+^o.*0j1 I expected the answer to be 0 ，但我得到了 0j1.22465e_16。虽然这非常接近于 0，但我想知道为什么 J 应该
c++ - 为什么对于每个数组 a 和整数 j，a[j] 都等于 j[a]？
这个问题在这里已经有了答案: With arrays, why is it the case that a[5] == 5[a]? (20 个答案) 关闭 3 年前。我正在阅读“C++ 编程语言”
algorithm - 当 A[i,j]=j*(A[i-1,j+1]-A[i-1,j]) 时，找到第 i 行第一个元素的最有效方法是什么？
当第一行是 1, 1/2 , 1/3 ....这是支持该问题的图像。是否存在比朴素的 O(n^2) 方法更有效的方法？我在研究伯努利数时遇到了这个问题，然后在研究“Akiyama-Tanigawa
java - 为什么 (i<=j && j<=i && i!=j) 评估为 TRUE？
我写了一段Java代码，它在无限循环中运行。下面是代码: public class TestProgram { public static void main(String[] args){
big-o - 嵌套循环的大O (int j = 0; j < i; j++)
for (int i = n; i > 0; i /= 2) { for (int j = 0; j 0; i /= 2) 的第一个循环结果 O(log N) . 第二个循环for (int
arrays - 找出数组中满足 ia[j] 的 (i,j) 对的总数
如问题中所述，需要找到数组中 (i,j) 对的总数，使得 (1) **ia[j]** 其中 i 和 j 是数组的索引。没有空间限制。我的问题是 1) Is there any approach w
python 当 s 在范围(i,j-1) : j=3 but before range it was j=2 . ..请帮助我时，我的 j 值发生变化
for l in range(1,len(S)-1): for i in range(1,len(S)-l): j=i+l for X in N:
time-complexity - 这个 for 循环的复杂度是多少，for (int j = i; j < n; j++)？
第二个for循环的复杂度是多少？会是n-i吗？根据我的理解，第一个 for 循环将执行 n 次，但第二个 for 循环中的索引设置为 i。 //where n is the number elemen

首页

博学

6Ren·AI

商城

java - 如何在 Maven 构建期间删除/排除 Log4j？