Log4j漏洞对Cloud项目的影响

Question

我们有一些利用Cloud项目模板用于Java的用例。现在，它们已经在SAP、Cloud环境上运行。默认情况下，它使用logback，并且我们没有更改它。

当使用maven命令获得依赖关系时，可以看到log4j-to-slf4j:jar:2.14.1和log4j-api:jar:2.14.1被Spring库和spring启动程序日志所使用。

[INFO] |  |  +- org.springframework.boot:spring-boot-starter-logging:jar:2.5.6:compile
[INFO] |  |  |  +- org.apache.logging.log4j:log4j-to-slf4j:jar:2.14.1:compile
[INFO] |  |  |  |  \- org.apache.logging.log4j:log4j-api:jar:2.14.1:compile

[INFO] +- com.sap.cloud.security.xsuaa:xsuaa-spring-boot-starter:jar:2.11.0:compile
[INFO] |  +- com.sap.cloud.security.xsuaa:spring-xsuaa:jar:2.11.0:compile
[INFO] |  |  +- org.apache.logging.log4j:log4j-to-slf4j:jar:2.14.1:compile
[INFO] |  |  |  \- org.apache.logging.log4j:log4j-api:jar:2.14.1:compile

根据春季官方文件。只有log4j核受影响。我们在spring-boot-starter-logging中包含的spring-boot-starter-logging和log4j-api jars不能单独利用。在我看来，对于原来包含库的Cloud项目不应该有任何影响。

你能说几句话吗？

Answer 1

SLF4J开发人员的这篇文章很好地描述了他们的情况：http://slf4j.org/log4shell.html

SLF4J API只是一个让消息数据通过的API。

这意味着这完全取决于您使用的实际日志实现。SDK模块不提供或期望任何日志记录实现。

在我们的CF原型中，我们使用slf4j-simple作为测试用例，logback用于生产性日志记录，但是这可以由原型的使用者进行更改。

在Neo上，运行时提供一个实现，因此原型不提供任何实现。