检测gradle可传递依赖项中存在的Apache Log4j漏洞
log4j中最近存在一个漏洞https://nvd.nist.gov/vuln/detail/CVE-2021-44228其临界值为10
如何检查gradle中是否存在Log4j易受攻击的版本,以便列出所有依赖项,包括可传递依赖项?
共有2个答案
gradle -q dependencyInsight --dependency org.apache.logging.log4j
--configuration scm
还有另一种方法来检查这个列表使用依赖Insight根据文章:-https://venturebeat.com/2021/12/17/how-to-detect-whether-you-have-the-log4j2-vulnerability/
我们可以使用
./gradlew -q dependencies
列出依赖关系树。它将列出所有依赖项及其各自的版本。由于此输出可能很长,我们可以使用grep对其进行筛选:
./gradelw -q dependencies | grep -i log4j
这将列出所有log4j-依赖项及其各自的版本。
-
我刚刚将我的项目升级到gradle 7,并且遇到了缺失的可传递依赖项。我试着改变我的身材。gradle文件在依赖项中使用“api”,但这并没有修复它。 projectA依赖于projectB,projectB依赖于projectC。 projectA-build。格拉德尔 projectB-构建。格拉德尔 ProjectA编译良好,但有运行时错误-从project ectC获取类的ClassNot
-
我们正在使用Gradle运行一个spring-boot应用程序。 已经通过添加以下内容进行了尝试: 这不起作用。 还增加:
-
给予 这在gradle 1.3中无法正常工作。(即,子项目包含所有依赖项) 这是一个bug还是有不同的语法来排除项目依赖关系?
-
我在Scala项目中使用了官方的Gatling Gradle插件,我发现了一个问题,其中包含了依赖项,如 不包括可传递依赖项。也就是说,我有一个Gatling模拟类,它扩展了中的一个类,而依赖于这个类。但是,当我尝试运行模拟时,会出现如下错误 当我查看Gradle依赖时,我将视为的依赖项。我的IDE(IntelliJ)在点击代码时也能识别它。 我试着在一页文档中搜索这个插件,但是我没有看到任何有用
-
null 使用Jenkins Artifactory插件,我能够将这两个模块的JAR发布到Artifactory,但我的另一个依赖于的项目未能构建,出现以下gradle错误 找不到com.mygroup:lib-api:1.0.0-snapshot lib-api/build.gradle null null 我的理解是,ArtiFactory/Gradle应该足够聪明,能够将解析为最新的时间戳快
-
我已经研究了一段时间,可能看到了与aar和传递依赖相关的最流行的答案,但不知何故,我仍然不清楚如何使其工作。 所以: 根据上述树,不检测所有的传递依赖。问题出在哪里,该如何正确做?