log4j中最近存在一个漏洞https://nvd.nist.gov/vuln/detail/CVE-2021-44228其关键性得分为10
如何在gradle中检查Log4j易受攻击版本的存在,以便列出所有依赖项,包括可传递依赖项?
我们可以使用
./gradlew -q dependencies
列出依赖关系树。它将列出所有依赖项及其各自的版本。由于此输出可能很长,我们可以使用grep
:对其进行筛选
./gradlew -q dependencies | grep -i log4j
这将列出所有log4j
-依赖项及其各自的版本。
gradle -q dependencyInsight --dependency org.apache.logging.log4j
--configuration scm
根据文章,还有另一种方法可以使用dependencyIntight检查此列表:-https://venturebeat.com/2021/12/17/how-to-detect-whether-you-have-the-log4j2-vulnerability/