Upozornění NuGet NU1901, NU1902, NU1903, NU1904
warning NU1902: Package 'NuGet.Protocol' 5.11.2 has a known moderate severity vulnerability, https://github.com/advisories/GHSA-g3q9-xf95-8hp5
Kód upozornění se změní v závislosti na známé úrovni závažnosti ohrožení zabezpečení:
| Kód upozornění | Závažnost |
|---|---|
| NU1901 | low |
| NU1902 | Střední |
| NU1903 | Vysoké |
| NU1904 | critical |
Problém
Balíček obnovený pro váš projekt má známou chybu zabezpečení.
Další informace najdete v dokumentaci k balíčkům auditování.
Řešení
Upgrade na novější verzi balíčku pravděpodobně vyřeší upozornění. Můžete zkontrolovat adresu URL poskytnutou poradcem pro ohrožení zabezpečení a zjistit, které verze balíčku byly opraveny, nebo zkontrolovat nakonfigurované zdroje balíčků a zjistit, které verze balíčku jsou k dispozici. Uživatelské rozhraní správce balíčků sady Visual Studio může zobrazit, které verze balíčků jsou ovlivněné a které nemají známá ohrožení zabezpečení.
Pokud nechcete dostávat oznámení o chybách zabezpečení, která jsou méně závažná než úroveň, kterou vám vyhovuje, můžete upravit soubor projektu a přidat vlastnost NuGetAuditLevelNÁSTROJE MSBuild s hodnotou nastavenou na low, moderate, highnebo critical.
Například <NuGetAuditLevel>high</NuGetAuditLevel>.
Pokud tato upozornění způsobují selhání obnovení, protože používáte TreatWarningsAsErrors, můžete přidat <WarningsNotAsErrors>NU1901;NU1902;NU1903;NU1904</WarningsNotAsErrors> , aby tyto kódy zůstaly jako upozornění.
Pokud nechcete, aby NuGet během obnovení zkontroloval balíčky se známými ohroženími zabezpečení, přidejte <NuGetAudit>false</NuGetAudit> do <PropertyGroup> souboru projektu nebo Directory.Build.props do souboru.
Poznámka:
Počáteční verze NuGetAudit neposkytuje způsob, jak potlačit konkrétní poradce (adresy URL). Jedná se o funkci, kterou plánujeme přidat na základě stanovení priorit dalších vylepšení.
Jako zmírnění rizik můžete přidat odpovídající NoWarn deklaraci PackageReference .
Například <PackageReference Include="Contoso.Library" Version="1.0.0" NoWarn="NU1901" />.
Mějte ale na paměti, že tím zabráníte nahlášení nových ohrožení zabezpečení se stejnou závažností.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro