'dotnet restore'는 보안 취약성 경고를 생성합니다.

프로젝트의 종속성과 도구를 복원하는 dotnet restore 명령은 이제 기본적으로 보안 취약성 경고를 생성합니다.

이전 동작

이전에는 dotnet restore가 기본적으로 보안 취약성 경고를 표시하지 않았습니다.

새 동작

.NET 8 SDK 이상 버전으로 개발하는 경우 dotnet restore는 기본적으로 복원된 모든 프로젝트에 대해 보안 취약성 경고를 생성합니다. 솔루션이나 프로젝트를 로드하거나 CI/CD 스크립트를 실행할 때 <TreatWarningsAsErrors>를 사용하도록 설정한 경우 이 변경으로 인해 워크플로가 중단될 수 있습니다.

도입된 버전

.NET 8 미리 보기 4

호환성이 손상되는 변경의 형식

이 변경 사항은 동작 변경입니다.

변경 이유

많은 사용자는 복원한 패키지에 알려진 보안 취약성이 포함되어 있는지 알고 싶어합니다. 이 기능은 많은 요청을 받은 기능이었습니다. 보안에 대한 우려는 매년 계속 증가하고 있으며 일부 알려진 보안 문제는 즉각적인 조치를 취할 수 있을 만큼 눈에 띄지 않습니다.

권장 작업

• 경고로 인해 빌드가 중단될 가능성을 명시적으로 줄이려면 <TreatWarningsAsErrors> 사용을 고려하고 <WarningsNotAsErrors>NU1901;NU1902;NU1903;NU1904</WarningsNotAsErrors>를 사용하여 알려진 보안 취약성이 환경에서 계속 허용되는지 확인할 수 있습니다.

• 다른 보안 감사 수준을 설정하려면 low, moderate, high 및 critical의 가능한 값을 사용하여 프로젝트 파일에 <NuGetAuditLevel> 속성을 추가합니다.

• 이러한 경고를 무시하려면 <NoWarn>을 사용하여 NU1901-NU1904 경고를 표시하지 않을 수 있습니다.

• 새 동작을 완전히 사용하지 않도록 설정하려면 <NuGetAudit> 프로젝트 속성을 false로 설정하면 됩니다.

참고 항목

• 보안 취약성 감사(dotnet restore)
• 보안 취약성에 대한 패키지 종속성 감사