Detektering af Apache Log4j-sårbarhed i gradvise transitive afhængigheder
Der er en nylig sårbarhed i log4j https://nvd.nist.gov/vuln/detail/CVE-2021-44228, som har en kritikalitetsscore på 10
Hvordan kontrollerer man tilstedeværelsen af Log4j sårbare versioner i gradle, så den viser alle afhængigheder inklusive transitive afhængigheder?
Svar
Vi kan bruge
./gradlew -q dependencies
For at vise afhængighedstræet. Den vil liste alle afhængigheder med deres respektive version. Da dette output kan være langt, kan vi filtrere det ned med grep
:
./gradelw -q dependencies | grep -i log4j
Dette viser alle log4j
-afhængigheder med deres respektive version.