log4j

有时我们在日志文件中不需要记录异常栈跟踪信息或者限制栈跟踪最大深度，在Java中，栈跟踪信息超过500行很常见，每天都可能有数千个这样的情况。 使用Lo4j2容易配置规定在日志中出现多少栈跟踪信息，下面是三个案例：

功能能力安全（capability-safe）的语言（如Rust）可以最大限度地减少甚至防止Log4j漏洞发生。在本文中讨论围绕Log4j漏洞的两个问题：它会对用户提供的字符串进行字符串插值。它会访问网络，而没有人意识到它可能会这样做。（这是能力安全

全集更新点击标题，以下是选编：

本文将探讨Zerolog（缩写为Zlg）—一种对性能敏感的Java应用程序的超低开销日志记录外观。Zlg的目标是双重的-

Log4j 2 Asynchronous Loggers for Low-Latency Logging - Apache Log

Apache 发布了另一个 Log4j 版本 2.17.1，修复了 2.17.0 中新发现的远程代码执行 (RCE) 漏洞，编号为 CVE-2021-44832。在今天之前，2.17.0 是 Log4j 的最新版本，被认为是最安全的升级版本，但现在这个建议已经演变。 

这是一个log4j漏洞扫描工具：扫描内部子网弱势可能有漏洞的Log4j的Web服务此工具使您能够扫描内部（仅）子网以查找易受攻击的 log4j Web 服务。它将尝试将 JNDI 负载发送到每个发现的 Web 服务到常见的 HTTP/S 端口列表。对于它收到的每个响应，它都会记录响应

上周log4j漏洞的最终方案是升级到2.16.0版本，但是周五又爆新漏洞，按照传统：研究人员发现 Log4J 2.16 版通过“${$ {::-${::-$${::-j}}}} ”容易受到 DoS 攻击。如果出于任何原因尝试在以上字符串，它将触发无限递归，应用程序将崩溃。点标

在 log4j 维护者发布2.15.0解决 Log4Shell 漏洞的版本后，在

Spring框架带有一个开箱即用的功能：可以记录您的请求，我们只需要配置它，即可随时可用。Spring 自带 AbstractRequestLoggingFilter，在处理请求之前和之后执行日志记录操作。在我们进入实现细节之前，这个过滤器需要一个子类来覆盖beforeRequest

tinylog只有75k，是一个轻量的日志框架，可以替代传统的Log4j和Logback等。 传统的log4j 或SLF4J等日志框架总是需要在类的第一行加入一个静态的Looger定义：

在这次Log4Shell或log4j2 CVE-2021-44228漏洞事件中，Apache Spark、Hadoop和Zookeeper被列为不受影响，因为它们使用 Log4j 1.x。Log4j 1.x 自 2015 年起已停产，

在调试棘手的问题时，要使日志发挥作用，上下文是至关重要的。每条日志都应该始终包含与请求相关的租户、用户、订单等的关键细节。日志还必须是结构化的，以便可被日志聚合器（如DataDog、StackDriver、Kibana等）解析和搜索。当我开始与Spring合作时，我希望实现与日志相关

在Maven中配置：

软件物料清单 (SBOM) 正成为一项至关重要的安全要求，它可以在软件在整个供应链中移植时实现可见性。组织必须立即采取行动，建立一项重要的新能力：SBOM 管理。目前，行业领导者采用的最佳实践是为应用程序的每个交付或部署版本生成软件材料清单SBOM，生成并管理软件的物料清单 (SBO

AWS 的 Corretto 团队一直致力于从 CVE-2021-44228 对 log4j RCE 进行热修补的机制。点击标题见Github项目，这是针对 CVE-2021-44228 的 log4j RCE 进行热修补的代理。它是将 Java 代理注入正在运行的 JVM 进程的工