Spring?Boot項(xiàng)目的log4j2核彈漏洞怎么修復(fù)

本篇內(nèi)容主要講解“Spring Boot項(xiàng)目的log4j2核彈漏洞怎么修復(fù)”，感興趣的朋友不妨來看看。本文介紹的方法操作簡(jiǎn)單快捷，實(shí)用性強(qiáng)。下面就讓小編來帶大家學(xué)習(xí)“Spring Boot項(xiàng)目的log4j2核彈漏洞怎么修復(fù)”吧!

最簡(jiǎn)修復(fù)方式

有些小伙伴其實(shí)想到了直接通過Spring Boot的Starter去解決，所以還給Spring Boot提了Issue，希望spring-boot-starter-log4j2可以支持最新的2.15版本（提Issue的時(shí)候還是rc1，現(xiàn)在已經(jīng)release了）

但熟悉Spring Boot組件的版本機(jī)制的話，其實(shí)這個(gè)并不需要特地發(fā)版解決。只需要加個(gè)簡(jiǎn)單配置就可以了，具體如下圖：

是的，就是這么簡(jiǎn)單，只需要在pom.xml中像下面配置就可以了：

<properties>
    <log4j2.version>2.15.0</log4j2.version>
</properties>

后記

不知道大家有沒有發(fā)現(xiàn)，最近幾次因?yàn)槁┒从绊懙轿覀僑pring Boot應(yīng)用的都不是Spring Boot原裝的東西。

比如：這次的Log4j2， 其實(shí)并不是Spring Boot默認(rèn)使用的日志組件，Spring Boot默認(rèn)使用Logback。所以這次沒有去更改日志組件的小伙伴們昨天都在群里看熱鬧。。。

而再之前比較嚴(yán)重的漏洞大多都是由另外一位第三方組件引起的，相信你也猜到是誰了吧？

對(duì)的，就是Fastjson。

Spring Boot默認(rèn)的JSON字符串序列化和反序列化工具是Jackson，而并非Fastjson。不過不知道從什么時(shí)候開始，就開始流行Fastjson的方案（我記得XML配置時(shí)代就開始了，可能是性能考慮？）。

最近DD這邊因?yàn)檫€是都用原裝組件，所以都沒碰到這些問題，還挺舒坦的。所以，最后還是建議大家如果沒有沒有碰到什么特別的性能要求，或其他原裝組件無法完成的任務(wù)時(shí)候，再去采用其他方案來替換默認(rèn)方案，這樣會(huì)更加穩(wěn)定。畢竟，默認(rèn)方案除了Spring官方，整個(gè)生態(tài)也是應(yīng)用最為廣泛的，它們更經(jīng)得起考驗(yàn)。

到此，相信大家對(duì)“Spring Boot項(xiàng)目的log4j2核彈漏洞怎么修復(fù)”有了更深的了解，不妨來實(shí)際操作一番吧！這里是億速云網(wǎng)站，更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢，關(guān)注我們，繼續(xù)學(xué)習(xí)！