最近 log4j2 的核弹级漏洞席卷了大部分互联网公司，升级版本成了这两周的核心任务。对于要升级到什么版本，最新版本 2.16.0 是最佳选择。那么如何快速升级，之前也给出了 Spring Boot项目升级版本的最简方法 。

大家只需要使用这样的简单配置，就可以把log4j2一系列包的版本都升级了。

如果这种方法不行，注意加了配置之后要reload下。另外，如果你不是Spring Boot项目，或者是通过其他方式引入的log4j2，那么需要单独处理，或者在你项目的根依赖里，直接写上log4j2的依赖并设置版本为2.16.0，强制覆盖其他地方引入的版本。

上面的配置很简单，但还是有读者不清楚为什么这样就可以了：

所以，今天就具体给大家说一下这个配置的原理。

一步步了解为什么

下面我会以读代码寻找源头的方式，带你一步步了解这个配置。希望你通过本文除了知道这个问题是为什么，还能学会这种自己探究问题的方法。

第一步：观察下你的 pom.xml ，有没有发现很多依赖包括非Spring Boot Starter的依赖都没有写version？

既然没version也能跑，那一定有地方定义了！把焦点转移到parent上，似乎就这里有version！

第二步：进一步查看
spring-boot-starter-parent 的内容

进入后可以看到类似下面的 xml 配置，其中主要包含的内容是与build相关的，而非依赖信息。

第三步：继续观察
spring-boot-starter-parent 中的信息中，可以看到，它还有一个parent，好小子藏那么深！那么就继续深入查看 spring-boot-dependencies 的内容：

进入后，我们就可以看到重点了，该Spring Boot版本下各个组件的版本参数就在这里：

搜索 log4j2 ，可以发现，这个版本下默认使用的是 2.14.1 ：

继续往下搜，在 dependencyManagement 节点下，可以看到各个依赖的版本定义就是引用了上面配置的各个 properties ：

所以，当我们在自己的Spring Boot中配置对应的 properties ，就可以覆盖parent中的 properties ，并实现版本的更新。