Log4j安全漏洞前车之鉴，呕心整理工作中常用开源组件避坑版本

背景

     前段时间log4j安全漏洞事件，可以说掀起了一场”血雨腥风“，正好最近做了一个项目对安全要求特别高，对有安全漏洞开源组件做了统一修复。特此总结，希望对大家以后选择组件版本时有所帮助。

开源组件

工作中常用开源组件版本推荐，建议不要低于推荐版本，可以避免一些安全漏洞。

组件坐标	推荐版本	备注
commons-collections:commons-collections	3.2.2
com.thoughtworks.xstream:xstream	1.4.18
com.alibaba:dubbo	2.6.10.1
com.alibaba:fastjson	1.2.78	最好不用，使用jackson替代
log4j:log4j	1.2.17-cloudera1	最好不用，使用logback替代
org.slf4j:slf4j-log4j12	1.7.26	最好不用，使用logback替代
Spring Framework	5.3.13
Spring Boot	2.6.0
org.codehaus.jackson:jackson-mapper-asl	1.9.13-cloudera.1
com.fasterxml.jackson.core:jackson-databind	2.13.0
io.vertx:vertx-XXX	3.9.7
org.apache.shiro:shiro-web org.apache.shiro:shiro-core	1.8.0
ch.qos.logback:logback-classic	1.2.7
commons-fileupload:commons-fileupload	1.3.1-jenkins-2
mysql:mysql-connector-java	5.1.49 或者 8.0.27
org.java-websocket:Java-WebSocket	1.5.2
commons-beanutils:commons-beanutils	1.9.4
org.apache.commons:commons-email	1.5
org.freemarker:freemarker	2.3.31
addressable	2.8.0
com.google.protobuf:protobuf-java	3.6.1.3-2+b3
com.alibaba:druid-spring-boot-starter	1.2.8
io.netty:netty-XXX	4.1.70
com.squareup.okhttp3:okhttp	3.12.2
com.google.guava:guava	31.0.1-android,30.1.1-jre
commons-io:commons-io	2.11.0
commons-httpclient:commons-httpclient	5.2-alpha1
commons-codec:commons-codec	1.14,1.15,1.16-SNAPSHOT
org.apache.commons:commons-lang3	3.4
org.apache.thrift:libthrift	0.14.0
org.apache.poi:poi-excelant	4.1.2
org.apache.poi:poi:	4.1.2
org.apache.kafka:kafka-clients	1.0.1.3.0.0.18-4
com.itextpdf.tool:xmlworker	5.5.12
org.hibernate:hibernate-validator	6.0.20.Final
org.springframework.cloud:spring-cloud-starter-openfeign	2.2.10.RELEASE
org.springframework.security:spring-security-crypto	5.4.7
org.mybatis:mybatis	3.5.6
jquery	3.5.0
junit:junit	4.13.2
org.apache.rocketmq:rocketmq	4.6.1
codemirror	5.58.2
org.glassfish:jakarta.el	3.0.3.jbossorg-4
org.mongodb:mongo-java-driver	3.11.3

后续将不断补充，欢迎关注”浅谈架构“公众号，不定期分享干货，欢迎点赞收藏！