问题描述

我可以在我的项目的Gradle依赖关系树中看到org.apache.logging.log4j：log4j-core：2.14.0库。

我们尚未从外部添加log4j版本。此版本是来自其他JAR或Spring-Boot-starter的传递依赖项的一部分。

如何在Gradle中覆盖log4j版本？

推荐答案

首先，找出您真正使用的是哪些与log4j相关的库，例如

 .gradlew dependencies --configuration=testRuntimeClasspath | find "log4j"

然后用如下的当前版本覆盖它们(docs)，放在dependencies块之后：

configurations.all {
    resolutionStrategy {
        force 'org.apache.logging.log4j:log4j-api:2.17.0'
        force 'org.apache.logging.log4j:log4j-core:2.17.0'
        force 'org.apache.logging.log4j:log4j-slf4j-impl:2.17.0'
        force 'org.apache.logging.log4j:log4j-jul:2.17.0'
    }
}

根据开始时的检查结果，您可能需要向该块添加更多/更少的库。

由于您使用的是Spring Boot，也可以使用Spring-Boot-specific feature设置Log4J版本：

ext['log4j2.version'] = '2.17.0'

这篇关于如何修复Gradle项目中的Log4J漏洞的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持！