Logback 1.2.9+ Groovy配置支持移除深度解析与替代方案

Logback Groovy配置支持的移除

自logback 1.2.9版本起，许多开发者发现其原有的logback.groovy配置文件不再生效，并在初始化时收到类似“unexpected filename extension of file [...] should be either .groovy or .xml”的错误信息。这并非偶然，而是logback项目团队有意识地做出的设计决策。

通过对比Logback 1.2.8和1.2.9版本中ch.qos.logback.classic.util.ContextInitializer类的configureByResource()方法，可以清晰地看到这一变化：

Logback 1.2.8版本 (部分代码):

public void configureByResource(URL url) throws JoranException {
    // ...
    final String urlString = url.toString();
    if (urlString.endsWith("groovy")) {
        if (EnvUtil.isGroovyAvailable()) {
            GafferUtil.runGafferConfiguratorOn(loggerContext, this, url);
        } else {
            // ... error for missing Groovy classes
        }
    } else if (urlString.endsWith("xml")) {
        JoranConfigurator configurator = new JoranConfigurator();
        configurator.setContext(loggerContext);
        configurator.doConfigure(url);
    } else {
        throw new LogbackException("Unexpected filename extension of file [...]");
    }
}

Logback 1.2.9版本 (部分代码):

public void configureByResource(URL url) throws JoranException {
    // ...
    final String urlString = url.toString();
    if (urlString.endsWith("xml")) {
        JoranConfigurator configurator = new JoranConfigurator();
        configurator.setContext(loggerContext);
        configurator.doConfigure(url);
    } else {
        throw new LogbackException("Unexpected filename extension of file [...]");
    }
}

从上述代码片段可以看出，1.2.9版本完全移除了对以.groovy结尾的配置文件的处理逻辑。这意味着Logback不再尝试解析或执行Groovy脚本作为其配置。

移除原因：安全漏洞 CVE-2021-42550

Logback团队移除Groovy配置支持的主要原因是响应CVE-2021-42550安全漏洞。该漏洞指出，由于Logback的Groovy配置机制过于强大，它可能允许通过精心构造的配置脚本执行任意代码。在某些部署场景中，如果攻击者能够篡改Logback的配置文件，他们就可以利用Groovy的动态性在运行Logback的系统上执行恶意代码，这构成了严重的安全风险。

Logback官方新闻稿（logback.qos.ch/news.html#1.2.9）明确指出：

移除了Groovy配置支持。由于日志记录无处不在，并且使用Groovy进行配置可能过于强大，出于安全原因，此功能不太可能被重新启用。

这意味着Logback项目本身不会重新引入Groovy配置支持。

替代方案与最佳实践

鉴于Logback官方的立场，建议所有受影响的用户采取以下措施：

Kaiber

Kaiber是一个视频生成引擎，用户可以根据自己的图片或文字描述创建视频

下载

1. 迁移至XML配置 (推荐)

最直接且官方推荐的解决方案是将现有的logback.groovy配置迁移到logback.xml。XML配置是Logback长期以来支持且经过充分测试的配置方式，它提供了足够的功能来满足大多数日志需求，并且避免了Groovy配置所带来的安全隐患。

示例：基本的 logback.xml 配置

    
    
        
            %d{yyyy-MM-dd HH:mm:ss.SSS} [%thread] %-5level %logger{36} - %msg%n
        
    

    
    
        logs/application.log
        
            
            logs/application.%d{yyyy-MM-dd}.log
            
            30
        
        
            %d{yyyy-MM-dd HH:mm:ss.SSS} [%thread] %-5level %logger{36} - %msg%n
        
    

    
    
        
        
    

    
    
        
    

将此文件保存为src/main/resources/logback.xml，Logback在启动时将自动加载它。

2. 使用第三方插件 (谨慎选择)

如果确实存在无法轻易迁移的复杂Groovy配置，或者有强烈需求继续使用Groovy进行配置，可以考虑使用第三方社区提供的解决方案。例如，virtualdogbert/logback-groovy-config项目旨在重新引入Logback的Groovy配置支持。

集成第三方插件的注意事项：

• 添加依赖： 你需要将该插件作为项目的依赖项引入。例如，对于Maven项目，可能需要添加类似以下内容：

  
      com.github.virtualdogbert
      logback-groovy-config
      ... 
  

• 安全风险： 再次强调，使用此类插件会重新引入Logback官方出于安全原因而移除的功能。在决定使用之前，务必充分评估其带来的安全风险，并确保你的部署环境能够有效缓解这些风险（例如，严格控制配置文件的访问权限）。
• 维护与兼容性： 第三方插件的维护状态和与未来Logback版本的兼容性可能不如官方支持的XML配置。

总结

Logback 1.2.9+版本移除Groovy配置支持是出于对严重安全漏洞（CVE-2021-42550）的防御。虽然这可能对依赖Groovy配置的项目造成影响，但迁移到XML配置是官方推荐且最安全的解决方案。对于有特殊需求的场景，第三方插件提供了一个可选方案，但必须充分理解并接受其潜在的安全风险。在日志配置方面，安全性应始终是首要考量。