检测Gradle传递依赖项中是否存在ApacheLog4j漏洞

2022-04-12 00:00:00 gradle java log4j log4j2

在log4jhttps://nvd.nist.gov/vuln/detail/CVE-2021-44228中有一个最新漏洞,其重要程度分数为10

如何检查Gradle中是否存在Log4j易受攻击的版本,以便列出包括可传递依赖项在内的所有依赖项?

解决方案

我们可以使用

./gradlew -q dependencies

列出依赖关系树。它将列出其各自版本的所有依赖项。由于此输出可能很长,我们可以使用grep

对其进行筛选 
./gradelw -q dependencies | grep -i log4j

这将列出其各自版本的所有log4j-依赖项。

相关文章