JetBrains 宣布：IntelliJ 平臺徹底停用 Log4j 組件

JetBrains 近日在官方博客宣布，將從 IntelliJ 平臺移除 Log4j 組件，一部分原因是之前的重大漏洞事件。

據(jù)介紹，基于 IntelliJ 平臺的 IDE 不受此漏洞的影響，因為使用了 Log4j 1.2 的修補(bǔ)版本，并刪除了所有與網(wǎng)絡(luò)相關(guān)的代碼。盡管如此，一些自動化安全工具仍然將安全版本的 Log4j 標(biāo)記為不安全。

同時，IntelliJ 平臺對日志框架的要求相當(dāng)?shù)?，可以包含在作?JDK 一部分的標(biāo)準(zhǔn)日志 API(java.util.logging)中。為了避免錯誤的安全警報并減少潛在的攻擊面，JetBrains 決定完全停止使用 Log4j，并切換到 java.util.logging 作為標(biāo)準(zhǔn)日志框架。

更改將在 2022.1 版本中發(fā)布。由于大量第三方插件(直接或間接)使用 Log4j，JetBrains 將發(fā)布 Log4j API 的存根實現(xiàn)，將日志輸出重定向到 java.util.logging，這一功能來自 SLF4J 項目。但是，存根并沒有完全實現(xiàn)所有方法，因此為了保持插件的全部功能，開發(fā)者可能需要調(diào)整代碼以適應(yīng)新環(huán)境。