最近在 log4j https://nvd.nist.gov/vuln/detail/CVE-2021-44228 中存在一个漏洞,其重要性得分为 10
如何检查 gradle 中是否存在易受攻击的 Log4j 版本,以便列出所有依赖项,包括传递依赖项?
【问题讨论】:
./gradlew -q dependencies|grep -i log4j - 这应该为您提供所使用的 log4j 依赖项(如果有)的版本。
我们可以使用
./gradlew -q dependencies
列出依赖树。它将列出所有依赖项及其各自的版本。由于此输出可能很长,我们可以使用grep 对其进行过滤:
./gradelw -q dependencies | grep -i log4j
这将列出所有 log4j-dependencies 及其各自的版本。
【讨论】:
dependencyInsight。它指出:“...每个 Gradle 项目都提供任务 dependencyInsight 从命令行渲染所谓的依赖关系洞察报告。给定依赖关系图中的依赖关系,您可以识别选择原因并追踪依赖选择的起源。 ..."
gradle -q dependencyInsight --dependency org.apache.logging.log4j
--configuration scm
根据文章,还有另一种使用dependencyInsight检查此列表的方法:- https://venturebeat.com/2021/12/17/how-to-detect-whether-you-have-the-log4j2-vulnerability/
【讨论】: