我想找到当前版本(2.15.0)之前log4j的所有用法。
我尝试使用maven的“mvn dependency:tree”,使用了几个工具(依赖性检查、grype(对我不起作用)、syft(对我不起作用)、log4j- detector)但它们只列出在 pom.xml 中指定后生成的类。
但是 - 这是我关心的问题:
例如。我正在使用一个名为 hibernate-validator(Hibernate Validator Engine)的库。我确信这个引擎使用 Jboss 日志记录,而 Jboss 日志记录又使用 log4j 2.11.2,但上面的工具都没有警告我这一点。我如何找出哪些库使用 log4j?
或者外部库不会对该漏洞造成威胁吗?
请指教。
Hibernate Validator 在此领先。您的依赖关系树中没有它,因为 Hibernate Validator 和 JBoss Logging 根本不使用它。
Hibernate 验证器有一个test对 Log4j 2 的依赖,但这只是一个测试依赖。因此,为什么您在依赖关系树中看不到它,这是准确的。
我正在发布具有更新的测试依赖项的新 HV 版本,但这对您的应用程序来说不是问题,它们不会通过 Hibernate Validator 依赖 Log4j 2。
See https://github.com/hibernate/hibernate-validator/blob/main/engine/pom.xml#L119 .
Update:为了避免安全扫描器误报,我发布了 Hibernate Validator 7.0.2.Final 和 6.2.1.Final。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
