如何在 slf4j 中删除 log4j 依赖

Posted 2023-02-18

【中文标题】如何在 slf4j 中删除 log4j 依赖

【英文标题】：How to remove log4j dependency in slf4j

【发布时间】：2022-01-22 01:28:35

【问题描述】：

我正在努力修复对我的项目的任何 log4j 依赖项。我在依赖树中寻找 log4j 的引用，我只能找到这个 org.slf4j:log4j-over-slf4j:jar:1.7.32:runtime。如果有人可以提供帮助，我如何确认这种依赖关系是否正常。

【问题讨论】：

那个lib是一个适配器，你可以忽略它。 log4j-core 是受影响的库。如果你没有那个，你很好。

【参考方案1】：

slf4j 不受 log4shell 漏洞的影响：http://slf4j.org/log4shell.html

【讨论】：

它在链接中说，除非底层实现是 log4j 2.x，否则将 log4j-over-slf4j.jar 与 SLF4J API 结合使用是安全的。如何查看 log4j 的版本？