AWS Vulnerability inspector жалуется на зависимость log4j в spring boot 3.3.5 и hibernate.

Вопрос или проблема

.

Ответ или решение

Исключение зависимости Log4j из Spring Boot 3.3.5 и Hibernate

Ваш вопрос о том, как полностью исключить зависимость Log4j из проекта на Spring Boot 3.3.5, представляет собой распространённую задачу в сфере управления зависимостями и обеспечения безопасности приложений. Давайте разберёмся, как решить вашу проблему, опираясь на контекст, который вы предоставили.

1. Понимание проблемы

Как вы отметили, AWS Inspector жалуется на зависимость Log4j, которая, вероятно, используется через jboss-logging, необходимый для Hibernate. Это вызывает настороженность, так как Log4j имел известные уязвимости, что делает вашу задачу исключительной задачей для соблюдения стандартов безопасности.

2. Анализ зависимостей

Прежде чем предпринять шаги по удалению зависимостей, полезно проанализировать, как jboss-logging связан с другими библиотеками. Вы можете использовать команду Maven для анализа зависимостей проекта:

mvn dependency:tree

Эта команда покажет все зависимости вашего проекта и их иерархию. Таким образом, вы сможете увидеть, какая версия jboss-logging используется и откуда она подтягивается.

3. Исключение Log4j

Чтобы полностью исключить Log4j и его зависимости, вы можете добавить исключения в файл pom.xml. Решение состоит в том, чтобы исключить зависимость полностью как от Hibernate, так и от других библиотек, которые могут её использовать. Ниже приведён пример управления зависимостями:

<dependency>
    <groupId>org.hibernate</groupId>
    <artifactId>hibernate-core</artifactId>
    <version>5.6.0.Final</version>
    <exclusions>
        <exclusion>
            <groupId>org.jboss.logging</groupId>
            <artifactId>jboss-logging</artifactId>
        </exclusion>
    </exclusions>
</dependency>

<dependency>
    <groupId>org.jboss.logging</groupId>
    <artifactId>jboss-logging</artifactId>
    <version>3.4.1.Final</version>
    <scope>provided</scope>
    <exclusions>
        <exclusion>
            <groupId>log4j</groupId>
            <artifactId>log4j</artifactId>
        </exclusion>
    </exclusions>
</dependency>

В данной конфигурации мы исключаем jboss-logging из зависимостей Hibernate. Важно также убедиться, что другие библиотеки, использующие jboss-logging, тоже были проверены и соответствующим образом настроены.

4. Зависимость от логирования

Очевидно, что удаление Log4j может повлечь за собой потребность в замене механизма логирования, так как без него ваша система может столкнуться с проблемами в логировании. Рассмотрите возможность применения альтернативных библиотек, таких как SLF4J или Logback, которые являются более безопасными и современными.

Пример настройки с использованием SLF4J:

<dependency>
    <groupId>org.slf4j</groupId>
    <artifactId>slf4j-api</artifactId>
    <version>1.7.30</version>
</dependency>
<dependency>
    <groupId>ch.qos.logback</groupId>
    <artifactId>logback-classic</artifactId>
    <version>1.2.3</version>
</dependency>

5. Проверка изменений

После внесения изменений в зависимости убедитесь, что ваш проект работает корректно. Выполните сборку и запустите тесты:

mvn clean install

Также проверьте, не вызывает ли ваше приложение каких-либо дополнительных ошибок выполнения, связанная с отсутствующими классами или методами.

6. Завершение и рекомендации

Следует помнить, что после внесения изменений в зависимости и конфигурацию, важно провести тестирование приложения. Вы можете использовать AWS Inspector повторно, чтобы убедиться, что проблемы с безопасностью, связанные с Log4j, устранены.

Следуя данным рекомендациям, вы сможете успешно исключить зависимости Log4j из вашего проекта и повысить уровень безопасности вашего приложения. Убедитесь, что вы продолжаете следить за обновлениями зависимостей и применять патчи, чтобы избежать потенциальных уязвимостей в будущем.