'dotnet restore'는 보안 취약성 경고를 생성합니다.
프로젝트의 종속성과 도구를 복원하는 dotnet restore
명령은 이제 기본적으로 보안 취약성 경고를 생성합니다.
이전 동작
이전에는 dotnet restore
가 기본적으로 보안 취약성 경고를 표시하지 않았습니다.
새 동작
.NET 8 SDK 이상 버전으로 개발하는 경우 dotnet restore
는 기본적으로 복원된 모든 프로젝트에 대해 보안 취약성 경고를 생성합니다. 솔루션이나 프로젝트를 로드하거나 CI/CD 스크립트를 실행할 때 <TreatWarningsAsErrors>
를 사용하도록 설정한 경우 이 변경으로 인해 워크플로가 중단될 수 있습니다.
도입된 버전
.NET 8 미리 보기 4
호환성이 손상되는 변경의 형식
이 변경 사항은 동작 변경입니다.
변경 이유
많은 사용자는 복원한 패키지에 알려진 보안 취약성이 포함되어 있는지 알고 싶어합니다. 이 기능은 많은 요청을 받은 기능이었습니다. 보안에 대한 우려는 매년 계속 증가하고 있으며 일부 알려진 보안 문제는 즉각적인 조치를 취할 수 있을 만큼 눈에 띄지 않습니다.
권장 작업
경고로 인해 빌드가 중단될 가능성을 명시적으로 줄이려면
<TreatWarningsAsErrors>
사용을 고려하고<WarningsNotAsErrors>NU1901;NU1902;NU1903;NU1904</WarningsNotAsErrors>
를 사용하여 알려진 보안 취약성이 환경에서 계속 허용되는지 확인할 수 있습니다.다른 보안 감사 수준을 설정하려면
low
,moderate
,high
및critical
의 가능한 값을 사용하여 프로젝트 파일에<NuGetAuditLevel>
속성을 추가합니다.이러한 경고를 무시하려면
<NoWarn>
을 사용하여NU1901-NU1904
경고를 표시하지 않을 수 있습니다.새 동작을 완전히 사용하지 않도록 설정하려면
<NuGetAudit>
프로젝트 속성을false
로 설정하면 됩니다.
참고 항목
.NET