导读 JetBrains 近日在官方博客宣布,将从 IntelliJ 平台移除 Log4j 组件,一部分原因是之前的重大漏洞事件。
据介绍,基于 Inte...
JetBrains 近日在官方博客宣布,将从 IntelliJ 平台移除 Log4j 组件,一部分原因是之前的重大漏洞事件。
据介绍,基于 IntelliJ 平台的 IDE 不受此漏洞的影响,因为使用了 Log4j 1.2 的修补版本,并删除了所有与网络相关的代码。尽管如此,一些自动化安全工具仍然将安全版本的 Log4j 标记为不安全。
同时,IntelliJ 平台对日志框架的要求相当低,可以包含在作为 JDK 一部分的标准日志 API(java.util.logging)中。为了避免错误的安全警报并减少潜在的攻击面,JetBrains 决定完全停止使用 Log4j,并切换到 java.util.logging 作为标准日志框架。
更改将在 2022.1 版本中发布。由于大量第三方插件(直接或间接)使用 Log4j,JetBrains 将发布 Log4j API 的存根实现,将日志输出重定向到 java.util.logging,这一功能来自 SLF4J 项目。但是,存根并没有完全实现所有方法,因此为了保持插件的全部功能,开发者可能需要调整代码以适应新环境。