导致阿里云被处罚的log4j2是个啥？

Posted 2023-02-18

参考技术A 阿里云的员工发现了log4j组件的重要安全漏洞，只上报了Apache，没有告知GXB，受到了处罚。

log4j2是从log4j一步步变过来的。它就是一个用Java编写的可靠、快速和灵活的日志框架，是在Apache软件许可证下发布的。

log4j开始与1996年初。当时它用作欧盟SEMPER(欧洲安全电子市场Secure Electronic Marketplace for Europe)项目的追踪API（应用程序接口）。

经过无数的增强和改进，最初的API就发展成为log4j，一种流行的Java日志包。

日志包就是用来记录系统或软件运行过程中的信息接口函数的集合，让开发软件的程序员调用来记录运行信息：程序跑到哪一步了？运行过程中出现了什么错误？等等。

日志记录模块是不跟普通用户打交道的，是给程序员调试用的。但它是软件开发的一个重要组成部分。编写良好的日志代码提供了快速调试、易于维护和结构化存储应用程序运行时信息的功能。

不过，日志记录模块也有它的缺点。它会降低应用程序的速度。而log4j则被设计成可靠、快速和可扩展的的日志包，再加上是开源的，因此用的非常多。

也正式因为应用广泛这个原因，log4j2的重要安全漏洞影响面也相应的很大。