Upozornění NuGet NU1901, NU1902, NU1903, NU1904
warning NU1902: Package 'NuGet.Protocol' 5.11.2 has a known moderate severity vulnerability, https://github.com/advisories/GHSA-g3q9-xf95-8hp5
Kód upozornění se změní v závislosti na známé úrovni závažnosti ohrožení zabezpečení:
Kód upozornění | Závažnost |
---|---|
NU1901 | low |
NU1902 | Střední |
NU1903 | Vysoké |
NU1904 | critical |
Problém
Balíček obnovený pro váš projekt má známou chybu zabezpečení.
Další informace najdete v dokumentaci k balíčkům auditování.
Řešení
Upgrade na novější verzi balíčku pravděpodobně vyřeší upozornění. Můžete zkontrolovat adresu URL poskytnutou poradcem pro ohrožení zabezpečení a zjistit, které verze balíčku byly opraveny, nebo zkontrolovat nakonfigurované zdroje balíčků a zjistit, které verze balíčku jsou k dispozici. Uživatelské rozhraní správce balíčků sady Visual Studio může zobrazit, které verze balíčků jsou ovlivněné a které nemají známá ohrožení zabezpečení.
Pokud nechcete dostávat oznámení o chybách zabezpečení, která jsou méně závažná než úroveň, kterou vám vyhovuje, můžete upravit soubor projektu a přidat vlastnost NuGetAuditLevel
NÁSTROJE MSBuild s hodnotou nastavenou na low
, moderate
, high
nebo critical
.
Například <NuGetAuditLevel>high</NuGetAuditLevel>
.
Pokud tato upozornění způsobují selhání obnovení, protože používáte TreatWarningsAsErrors
, můžete přidat <WarningsNotAsErrors>NU1901;NU1902;NU1903;NU1904</WarningsNotAsErrors>
, aby tyto kódy zůstaly jako upozornění.
Pokud nechcete, aby NuGet během obnovení zkontroloval balíčky se známými ohroženími zabezpečení, přidejte <NuGetAudit>false</NuGetAudit>
do <PropertyGroup>
souboru projektu nebo Directory.Build.props
do souboru.
Poznámka:
Počáteční verze NuGetAudit neposkytuje způsob, jak potlačit konkrétní poradce (adresy URL). Jedná se o funkci, kterou plánujeme přidat na základě stanovení priorit dalších vylepšení.
Jako zmírnění rizik můžete přidat odpovídající NoWarn
deklaraci PackageReference
.
Například <PackageReference Include="Contoso.Library" Version="1.0.0" NoWarn="NU1901" />
.
Mějte ale na paměti, že tím zabráníte nahlášení nových ohrožení zabezpečení se stejnou závažností.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro