我的jenkins服务器中有这个log4j-1.2.12.jar文件
路径:/data/jenkins/.m2/repository/log4j/log4j/1.2.12/log4j-1.2.12.jar
我从安全团队那里得到了这个Apache Log4j Unsupported Version Detection message,如何解决这个问题我尝试下载最新版本,但它有点像这个log4j-api-2.19.0.jar
不,它不是"在Jenkins"中;,更准确地说,log4j不是Jenkins的一部分Jenkins在${JENKINS_HOME}/war/WEB-INF/lib中消耗爆炸战争的罐子。它不在那里。
如果一个插件使用log4j,它将在${JENKINS_HOME}/plugins/<plugin_name>/WEB-INF/lib的分解插件目录中找到。log4j与大多数插件相关的状态在JENKINS-67353下进行了跟踪。
您所引用的是maven本地存储库.m2/repository。这个结构是在控制器上运行maven构建时创建的;在构建的pom.xml中指定的依赖性jar。
评论中的指导是正确的;找到合适的pom.xml并更新它,然后重新构建。
您可以通过删除整个.m2目录(或者移动/zip;如果您有妄想症,请删除(并重新启动Jenkins来验证这些声明。您会发现Jenkins运行良好,目录仍然为空。运行你的maven作业,它会重新填充,包括log4j-1.2.12.jar,假设它仍然在你的pom.xml中指定。修复你的mavenpom.xml,删除目录,重新运行你的作业,它不应该重新出现。
也许你已经更新了pom.xml,但从未清除过本地maven存储库,那么它就不会重新填充(你可以检查目录的时间戳,知道它是第一次/最后一次下载的(。
您还可以通过指定mvn dependency:purge-local-repository并添加-DreResolve=false来删除存储库中被引用的部分,以避免重新解析。当然,如果您已经更新了pom.xml, it would remain since it's not referenced in thepom.xml`(是的,如果可以选择清除所有或大部分存储库或给定jar的所有版本,那就太好了,但是…(