Logback 1.5.34 发布：修复反序列化漏洞，增强异常处理能力

【导语：Logback 作为 log4j 项目的继任者，架构通用且适应多场景。近日，Logback 1.5.34 版本发布，带来了一系列更新，增强了框架的稳定性和安全性。】

Logback：log4j 继任者的架构优势

Logback 旨在承接 log4j 1.x 版本的发展脉络，成为广受欢迎的继任者。其架构设计高度通用，能适应不同场景需求。目前该框架分为 logback-core、logback-classic 和 logback-access 三个模块。

1.5.34 版本：异常处理与安全修复

在新发布的 1.5.34 版本中，有重要更新。若 Throwable.getStackTrace 方法返回的某些 StackTraceElement 值为 null，StackTraceElementProxy 会使用虚拟实例代替，避免抛出 IllegalArgumentException，提升了异常处理能力。

同时，HardenedObjectInputStream 在尝试反序列化 Proxy 类时会抛出 InvalidClassException，修复了潜在的反序列化白名单绕过漏洞（CVE - 2026 - 10532），增强了框架的安全性。

获取相同二进制版本的途径

用户可以通过从与标签 v_1.5.34 关联的 commit [e62272a] 处从源代码构建，获得与本版本二进制完全相同的版本。此版本是在 Linux Debian 11.6 系统下，使用 Java "21" 2023 - 10 - 17 LTS build 21.0.1.+12 - LTS - 29 构建的。

编辑观点：Logback 1.5.34 版本的更新提升了框架的稳定性与安全性，对开发者而言是个好消息，有助于其在不同场景下更稳定地使用该框架。