とりあえず Log4j(1) と Log4j2 を同一視して、今回のあれこれを見て「Log4j 懐かしい」とか「Log4j はどこででも使われてて」とか「Log4j は古くから」とか言うのやめてあげてほしい…。 Log4j2 は割と最近 (と言っても 2015 くらい) だし、中身も API も作者も別物である

いろいろ擁護する声もあるけど、元の 1 の作者の「やめとけ」っていう声を無視した上で、名前だけは拝借して 2 としてやらかしたというのは、個人的にはほぼ擁護できない…

参考文献:

最初の仕事は 2015 よりはだいぶ早かったんだな

これ、「自分の提案が全然取り込まれる気配がないから新しいのを作り、その新しいのに届いた PR を寛容に取り入れたらその PR 主がトンズラし、しかたなく互換性のためにメンテを続けていたらそこが大穴だった」ってことかね…。 SLF4J と Logback が新規 PR をほぼ取り込んでないの、正解なんでは…

「security fix していること」はよくメンテされているソフトウェアの条件ではあるけど、「届いた Issue や変更をよく受け入れてそれなりの頻度でリリースしていること」は必ずしもそうではない (相関は多少あるだろうけど) んだなあと改めて。「雑な Issue/PR 投げるな」の話にも通ずるところがある