"dotnet restore" genera advertencias de vulnerabilidades de seguridad

Article
07/21/2024

El comando dotnet restore, que restaura las dependencias y las herramientas de un proyecto, ahora genera advertencias de vulnerabilidad de seguridad de forma predeterminada.

Comportamiento anterior

Anteriormente, dotnet restore no emitía ninguna advertencia de vulnerabilidad de seguridad de forma predeterminada.

Comportamiento nuevo

Si está desarrollando con el SDK de .NET 8 o una versión posterior, dotnet restore genera de forma predeterminada advertencias de vulnerabilidad de seguridad para todos los proyectos restaurados. Al cargar una solución o proyecto o ejecutar un script de CI/CD, este cambio puede interrumpir el flujo de trabajo si ha habilitado <TreatWarningsAsErrors>.

Versión introducida

.NET 8 Versión preliminar 4

Tipo de cambio importante

Este es un cambio de comportamiento.

Motivo del cambio

Muchos usuarios quieren saber si los paquetes que restauran contienen vulnerabilidades de seguridad conocidas. Esta funcionalidad era una característica muy solicitada. Los problemas de seguridad siguen aumentando cada año y algunos problemas de seguridad conocidos no son lo suficientemente visibles para tomar medidas inmediatas.

Acción recomendada

Para reducir explícitamente la probabilidad de esta interrupción de la compilación debido a advertencias, puede considerar el uso de <TreatWarningsAsErrors> y usar <WarningsNotAsErrors>NU1901;NU1902;NU1903;NU1904</WarningsNotAsErrors> para asegurarse de que las vulnerabilidades de seguridad conocidas todavía están permitidas en su entorno.
Si desea establecer un nivel de auditoría de seguridad diferente, agregue la propiedad <NuGetAuditLevel> al archivo del proyecto con los valores posibles de low, moderate, high y critical.
Si desea omitir estas advertencias, puede usar <NoWarn> para suprimir las advertencias NU1901-NU1904.
Para deshabilitar completamente el nuevo comportamiento, puede establecer la propiedad del proyecto <NuGetAudit> en false.

Comparteix a través de