Da ich es hier nun immer wieder lese, dass Log4j ja Standard wäre, Millionenfach genutzt wäre und damit ja total gut und toll wäre:
NEIN. Einfach nur NEIN!
Eine Lib ist weder sicher noch gut, bloß weil Millionen Entwickler sie nutzen.
Ich kann dieses "Das muss toll sein, das nutzen viele!!" nicht mehr hören.
Diese ganzen NPM-Stümper ziehen sich da Abhängigkeitsketten in das Projekt ohne nachzudenken und verkaufen das als Fortschritt.
(NPM ist hier nur ein Beispiel... ein schlimmes Beispiel!)
Im Endeffekt riskiert man damit ein ganzes Softwareprojekt.
Und damit den eigenen Arbeitsplatz oder gar den Arbeitsplatz von vielen Kollegen gleich mit.
Ich habe KEIN Verständnis dafür, wenn Leute für triviale Bullshit-Aufgaben (wie zB Logging) einfach ohne nachzudenken Libs ohne Review einbauen. Insbesondere wenn die Libs dann riesig sind und man sich zig unsichere Zusatzfunktionen in das Projekt zieht, die man gar nicht braucht (=Overhead).
Jeder selbstgebastelte Logger würde automatisch mit dem sonstigen Quellcode durch ein Review laufen und wäre einer solchen Lib (ohne Review aber dafür mit reichlich Overhead) damit weit überlegen.