鉴于最近的 Log4J vulnerability 在 gradle 项目中升级传递依赖项的最安全方法是什么?我的项目没有明确使用 log4j(它使用 logback),但它有许多依赖项会带来易受攻击的版本(
【问题讨论】:
标签: java security gradle logging
将以下内容添加到您的 gradle.build 文件中:
configurations.all {
resolutionStrategy.eachDependency { details ->
if (details.requested.group == 'org.apache.logging.log4j') {
details.useVersion '2.17.1'
details.because 'zero-day exploits suck'
}
}
}
dependencies {
…
}
请注意,正如documentation 指出的那样:
以下机制允许您直接编写规则 注入解析引擎。正因为如此,它们才能被看到 作为蛮力解决方案,可能会隐藏未来的问题(例如,如果新 添加依赖项)。因此,一般的建议是只使用 如果其他方法不够用,请使用以下机制。
我意识到 OP 要求以“最安全”的方式升级依赖项——我选择将其解释为最有可能消除零日漏洞。尽管如此,我确实认识到这种蛮力方法并不能保证库之间的兼容性,但这应该确保没有易受攻击的 log4j 版本最终出现在您的依赖关系树/构建中。
您当然应该在进行更改后运行gradle dependencies,以确保更改已生效并且您没有任何存在问题的挥之不去的版本。
更新:删除了版本比较,推荐here。
更新:将版本增加到 2.17.1
【讨论】:
<= '2.15.0',而不是<。在配置中仅使用 < 运行 ./gradlew dependencies 给了我一个依赖关系树输出,包括 org.apache.logging.log4j:log4j-1.2-api -> 2.15.0 及其子依赖关系 org.apache.logging.log4j:log4j-api:2.15.0 -> 2.11.2。使用<=,我得到了org.apache.logging.log4j:log4j-1.2-api -> 2.15.0 和org.apache.logging.log4j:log4j-api:2.15.0。
&& details.target.version < '2.15.0'——那么我们不应该在发生冲突时意外降级。我不确定我们是否也应该更改为details.target.group。
configurations{ runtime.exclude group: "log4j", module: "log4j" } 您需要测试以 100% 确保这不会破坏您项目中的任何内容
您可以将依赖管理插件添加到您的 gradle.build:
plugins {
id 'io.spring.dependency-management' version '1.0.11.RELEASE'
}
dependencyManagement {
imports {
mavenBom 'org.apache.logging.log4j:log4j-bom:2.17.0'
}
}
要确认更改,请运行
./gradlew dependencies
你应该看到类似
+--- org.apache.logging.log4j:log4j-to-slf4j:2.14.1 -> 2.17.0
| | | | +--- org.slf4j:slf4j-api:1.7.25 -> 1.7.32
| | | | \--- org.apache.logging.log4j:log4j-api:2.17.0
【讨论】: