背景:
log4j漏洞从去年升级了好几个版本,确实已经让大家很烦躁了,但还是得要处理下
动手:
一般来说多个服务依赖都会引用同一个公共依赖管理,来减少版本冲突,这样我们直接在公共依赖里面强制指定即可。
1、公共依赖POM设置:
<properties>
<log4j.version>2.17.2</log4j.version>
<!--这个是指定一些依赖中的版本-->
<log4j2.version>2.17.2</log4j2.version>
</properties>
<dependencyManagement>
<dependencies>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
<version>${log4j.version}</version>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>${log4j.version}</version>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-to-slf4j</artifactId>
<version>${log4j.version}</version>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-slf4j-impl</artifactId>
<version>${log4j.version}</version>
</dependency>
</dependencies>
</dependencyManagement>
2、单独的服务
只有一个服务,也没引用公共的依赖怎么搞呢,也是一样的
POM设置
<properties>
<log4j.version>2.17.2</log4j.version>
<!--这个是指定一些依赖中的版本-->
<log4j2.version>2.17.2</log4j2.version>
</properties>
<dependencies>
<!--强制指定log4j版本-->
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
<version>${log4j.version}</version>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>${log4j.version}</version>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-to-slf4j</artifactId>
<version>${log4j.version}</version>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-slf4j-impl</artifactId>
<version>${log4j.version}</version>
</dependency>
</dependencies>
效果:
打包后,我们把打开jar包里面看看,所有涉及到log4j的版本都是我们指定的 2.17.2
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
