Apache log4j 没有安装 Spring Initializr 的最新版本？

Posted 2023-02-25

【中文标题】Apache log4j 没有安装 Spring Initializr 的最新版本？

【英文标题】：Apache log4j is not installed with the latest version from Spring Initialzr?

【发布时间】：2022-01-20 22:29:45

【问题描述】：

我使用 Initialzr 创建了一个新的 Spring 应用程序。设置好后发现log4j的包初始安装不是最新版本（2.14.1而不是2.16.0来对抗最近的漏洞攻击）。检查生成的 build.gradle 也没有显示提到的 log4j 包。

关于这个的两个问题：

为什么 Spring Initialzr 没有选择最新版本的 log4j？ 要更新这个，我是否需要在 build.gradle 本身中专门添加依赖项？

【问题讨论】：

你好@OreoFanatics，如果我的回答对你有帮助，你可以投票并接受它作为答案（点击答案旁边的复选标记将其从灰色切换为填充。）。这对其他社区成员可能是有益的。谢谢

【参考方案1】：

根据 Spring 博客，新版本将于 12 月 23 日发布

https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot