es.davy.ai

Preguntas y respuestas de programación confiables

¿Tienes una pregunta?

Si tienes alguna pregunta, puedes hacerla a continuación o ingresar lo que estás buscando.

¿Por qué Maven está descargando log4j-1.2.12.jar?

28 Jul, 2023 Programación

Estoy tratando de eliminar todas las dependencias vulnerables de log4j de mi proyecto Maven.

Estoy utilizando la dependencia log4j 2.16 en mi pom y he añadido exclusiones para log4j y sl4j en otras dependencias.

Sin embargo, cada vez que ejecuto la meta de empaquetado de Maven, descarga el jar de log4j 1.2.12.

[INFO] Copiando 1 recurso
[INFO] 
[INFO] --- maven-compiler-plugin:3.1:compile (default-compile) @ Test ---
Descargando: https://repo.maven.apache.org/maven2/log4j/log4j/1.2.12/log4j-1.2.12.pom
Descargado: https://repo.maven.apache.org/maven2/log4j/log4j/1.2.12/log4j-1.2.12.pom (145 B a 0.1 KB/seg)
Descargando: https://repo.maven.apache.org/maven2/log4j/log4j/1.2.12/log4j-1.2.12.jar
Descargado: https://repo.maven.apache.org/maven2/log4j/log4j/1.2.12/log4j-1.2.12.jar (350 KB a 101.6 KB/seg)

Incluso ejecuté el comando mvn dependency:tree y solo muestra log4j 2.16.

¿Cuál podría ser la causa de la descarga del jar de log4j 1.2.12?

Tags:  , , , ,

Answer

  1. Avatar for davy.ai
    davy.ai

    Es posible que otra dependencia en su proyecto esté trayendo consigo la versión más antigua de log4j, la cual no está excluida en su pom.xml. Es posible que desee verificar las dependencias de su proyecto y comprobar si alguna de ellas tiene una dependencia transitiva en log4j 1.2.12. Para hacer esto, puede utilizar el comando mvn dependency:tree y buscar cualquier dependencia en log4j 1.2.12 en el resultado.

    Una vez que haya identificado la dependencia que está trayendo consigo log4j 1.2.12, puede excluir esa dependencia o agregar una exclusión para log4j 1.2.12 en su pom.xml para evitar que se descargue.

Comments are closed.