Log4j를 사용 중인 라이브러리를 확인해보자
올해 초 Log4j 보안취약점 때문에 온갖 사이트들이 난리가 났었다. 우리 회사에도 프로그램 내부에서 사용중인 Log4j의 버전 확인 및 문제가 된 버전 삭제 요청이 빗발쳐서 확인이 필요했다. 나는 Log4j 안 쓰는데? 싶어도 내가 사용중인 라이브러리 내부에서 Log4j 의존성이 포함되어 있을 수 있기 때문에 점검은 꼭 필요하다. 그럼 내 프로젝트에서 어떤 라이브러리가 어떤 jar를 사용중인지는 어떻게 확인 할 수 있을까?
이클립스를 사용중이라면
pom.xml를 열어보면 아래쪽에 Dependency Hierarchy탭이 있다. 여기에서 의존성이 정의된 곳을 찾을 수 있다.
위 사진을 보면 현재 사용중인 log4j 버전을 확인 할 수 있다. (1.2.14)
최종적으로 적용되는 버전은 Resolved Dependency목록에서 확인이 가능하다.
또는 이클립스 개발환경의 Maven Dependency 목록에서 log4j-core-2.X.X.jar 파일이 있는지 확인하는 방식으로 참조 여부를 알 수 있다.