我们使用 spring boot 2.1.5 和 starter parent 作为 pom 依赖。
Spring boot 使用默认 logback 进行日志记录,我们没有明确切换到 Log4j2 或更改任何配置。下面是我们的项目依赖树。
我们在我们的项目中有很多 lombok @ log4j2 注释。但是,我们在依赖树中发现我们没有任何 log4j2 核心 jar 依赖(已发现容易受到 log4j 最近问题的影响)。
@Log4j2
@Service
@DependsOn("applicationDependencyCheck")
是 lombok @ log4j2 不依赖于 log4j2-core.jar。这是正确的假设这将显示在 maven 依赖树或我们缺少的东西。
这是我们的龙目岛入口-
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<optional>true</optional>
</dependency>
请分享一些见解。
谢谢
在 lombok 文档中,您可以在这里找到它https://projectlombok.org/api/lombok/extern/log4j/Log4j2.html
@ Log4j2 公共类 LogExample {}
将生成:
公共类 LogExample {private static final org.apache.logging.log4j.Logger log = org.apache.logging.log4j.LogManager.getLogger (LogExample.cl);}
这两个类都存在于 log4jAPI jar
https://logging.apache.org/log4j/2.x/log4j-api/apidocs/org/apache/logging/log4j/LogManager.html https://logging.apache.org/log4j/2.x/log4j-api/apidocs/org/apache/logging/log4j/Logger.html此处未列出已知漏洞https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api
正如这里所描述的https://logging.apache.org/log4j/2.x/log4j-api/index.htmllog4j api 只是一个接口。
我认为在这种情况下,您的代码不依赖于 log4j 核心。您可以仔细检查 build 的输出(例如 maven / target 文件夹,war 文件等)
本站系公益性非盈利分享网址,本文来自用户投稿,不代表边看边学立场,如若转载,请注明出处
评论列表(21条)