最近Log4j爆出重大安全漏洞,想排查下项目中是否有使用Log4j的依赖(项目中使用了logback打印日志)。
查找
在IDEA中,可以通过将鼠标选中依赖包栏,然后直接打出log4j即可搜索:
如果发现存在Log4j包依赖,则需要通过全局搜索,找到对应的pom文件,进而确定是哪个依赖包下依赖的。
最后在gradle配置文件中移除掉:
configurations {
compile.exclude group:'org.apache.logging.log4j'
}
注
如果排除掉后报错了,可以尝试升级依赖包。或者按修复措施解决:
Log4j2 重大漏洞!这影响也太大了吧…