반응형

spring boot 기본 라이브러리에는 log4j가 포함되어 있다. 

log4j 취약점으로 많은 이슈가 되고 있고, 아예 사용하지 않도록 설정하는 것이 좋다. 

configurations {
    querydsl.extendsFrom compileClasspath
    all	{
    	exclude group: "org.slf4j", module: "slf4j-log4j12"
    	exclude group: "org.apache.logging.log4j", module: "log4j-to-slf4j"
    	exclude group: "log4j", module: "log4j"
    }
}

build.gradle로 이동해서 configurations하위에 다음과 같이 예외 모듈을 입려하면 build 시 관련 라이브러리가 예외된 상태로 war파일이 생성이됩니다.

참고로 리눅스 확경 배포시 

 find / -name log4j* -print

다음 명령어를 통해서 log4j관련 라이브러리가 포함되어 있는지 확인가능합니다.

728x90

+ Recent posts