我想找到当前版本(2.15.0)之前log4j的所有用法。
我尝试使用maven的“mvn dependency:tree”,使用了几个工具(dependency-check,grype(对我不起作用),syft(对我不起作用),log4j- detector),但它们只列出了那些在 pom.xml 中指定它们后生成。
但是 - 这是我关心的问题:
例如,我正在使用一个名为 hibernate-validator(Hibernate Validator Engine)的库。我确信这个引擎使用 Jboss 日志记录,而 Jboss 日志记录又使用 log4j 2.11.2,但上面的工具都没有警告我这一点。我如何找出哪些库使用 log4j?
或者外部库不会对该漏洞造成威胁吗?
请指教。