Zenn
🚓

spring-boot-dependenciesのlog4jのバージョンを2.17にする

2022/01/04に公開
Java
Spring Boot
Maven
log4j
tech

spring-boot-dependenciesv2.5.8 v2.6.2 はlog4jのバージョンが2.17になっているらしい

それ以前の場合は log4jのbomでバージョン指定してあげるのが楽そう

pom.xml
<dependencyManagement>
    <dependencies>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-bom</artifactId>
            <version>2.17.1</version>
            <scope>import</scope>
            <type>pom</type>
        </dependency>
	    
      <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-dependencies</artifactId>
        <version>${spring.boot.version}</version>
        <type>pom</type>
        <scope>import</scope>
      </dependency>
    </dependencies>
</dependencyManagement>

参考
https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot

Discussion