阿里云的员工发现了log4j组件的重要安全漏洞,只上报了Apache,没有告知GXB,受到了处罚。
log4j2是从log4j一步步变过来的。它就是一个用Java编写的可靠、快速和灵活的日志框架,是在Apache软件许可证下发布的。
log4j开始与1996年初。当时它用作欧盟SEMPER(欧洲安全电子市场Secure Electronic Marketplace for Europe)项目的追踪API(应用程序接口)。
经过无数的增强和改进,最初的API就发展成为log4j,一种流行的Java日志包。
日志包就是用来记录系统或软件运行过程中的信息接口函数的 *** ,让开发软件的程序员调用来记录运行信息:程序跑到哪一步了?运行过程中出现了什么错误?等等。
日志记录模块是不跟普通用户打交道的,是给程序员调试用的。但它是软件开发的一个重要组成部分。编写良好的日志代码提供了快速调试、易于维护和结构化存储应用程序运行时信息的功能。
不过,日志记录模块也有它的缺点。它会降低应用程序的速度。而log4j则被设计成可靠、快速和可扩展的的日志包,再加上是开源的,因此用的非常多。
也正式因为应用广泛这个原因,log4j2的重要安全漏洞影响面也相应的很大。