由 log4j2 漏洞爆发引发的疑问，为什么这么多框架要引入 log4j2，不应该是仅引入 slf4j 吗

Slf4j 是门面，具体实现是 log4j2

@aliensb 这个没错，但不应该是框架引入 slf4j ，使用框架的项目引入 log4j2 或者其他实现

log4j2 的异步性能高啊

平行宇宙.

React 框架統治了 Java 王國.

你永遠都有選擇的自由.

Browserify/Grunt/Gulp/Webpack
Redux/Mobx/Recoil
Redux-saga/Dva
material/antd/bootstrap
less/sass/postcss/css in js

[現在的前端技術棧真的太惡心了！]( https://www.v2ex.com/t/821702 )

看到车仔就进来了

log4j 好用且性能高啊。从这次漏洞就能看得出来，log4j 真的是只有你想不到，没有他做不到呢。

@jiangxin 现在不就是吗，你是低估了 Java 项目的数量了

spring-boot 如果不自己动的话是 logback
印象里只有 elasticsearch 是绑定 log4j2 的，毕竟有独立运行的需求，不能只有一个 slf4j

我车已崩

log4j 可以用 slf4j 桥接器换掉

log4j2 性能更好，我们 springboot 项目都要它

@shyangs #4 我猜你想说 javascript ？

奇怪的是，我们用的是默认 springboot ，理论上应该用的是 logback 。但上周排查 进行依赖扫描的时候发现 log4j-api 被 log4j-to-slf4j,然后被 spring-boot-starter-logging 引入了，还是要修
如下：
| | | +--- org.springframework.boot:spring-boot-starter-logging:2.3.6.RELEASE
| | | | +--- ch.qos.logback:logback-classic:1.2.3
| | | | | +--- ch.qos.logback:logback-core:1.2.3
| | | | | \--- org.slf4j:slf4j-api:1.7.25 -> 1.7.30
| | | | +--- org.apache.logging.log4j:log4j-to-slf4j:2.13.3
| | | | | +--- org.slf4j:slf4j-api:1.7.25 -> 1.7.30
| | | | | \--- org.apache.logging.log4j:log4j-api:2.13.3

@wineast 只有 log4j-api 一个依赖没事的，漏洞的代码在 log4j-core 包里

我也一直有这个疑惑，为什么这么整齐划一的搞 log4j2?

@wineast log4j-api 没问题的，就是把 log4j 的 api 转发到 slf4j 去了，slf4j 没问题就行了。

@FEINIAO233 感谢，客户那里用的扫描工具，都是直接扫关键词的，扫到了就要我们整改，现在还得排包

@FEINIAO233 log4j-api 也只是接口吗？那最终实现调的什么？

spring boot 本身就是开箱即用的框架，默认就有日志组件的实现。一键启动，该配的都帮你配好了。