在我们的Sonateype安全漏洞扫描中,我们将log4j:1.27作为安全威胁。log4j似乎是slf4j-log4j12的一部分,这是我们在代码中使用的一个库。我想在pom.xml中排除log4j,所以它将类似于:
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-log4j12</artifactId>
<version>1.7.30</version>
<exclusions>
<exclusion>
<artifactId>log4j</artifactId>
<groupId>log4j</groupId>
</exclusion>
</exclusions>
</dependency>
编译和运行这个项目,它似乎运行得很好。我只是想知道把图书馆排除在外会有什么副作用?我们会得到运行时错误吗?如能提供这方面的任何信息,我们将不胜感激。
我遇到了完全相同的问题。它没有生成任何运行时错误。我对像这样的pom的依赖
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-log4j12</artifactId>
<exclusions>
<exclusion>
<groupId>log4j</groupId>
<artifactId>log4j</artifactId>
</exclusion>
</exclusions>
</dependency>