Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
waarschuwing NU1902: Pakket 'NuGet.Protocol' 5.11.2 heeft een bekend beveiligingsprobleem met gemiddelde ernst, https://github.com/advisories/GHSA-g3q9-xf95-8hp5
De waarschuwingscode wordt gewijzigd, afhankelijk van het bekende ernstniveau van beveiligingsproblemen:
| Waarschuwingscode | Severity |
|---|---|
| NU1901 | low |
| NU1902 | gematigd |
| NU1903 | high |
| NU1904 | critical |
Issue
Een pakket dat voor uw project is hersteld, heeft een bekend beveiligingsprobleem.
Zie de documentatie over controlepakketten voor meer informatie.
Solution
We hebben documentatie over het upgraden van kwetsbare pakketten die uitgebreider ingaan op onze aanbevolen acties wanneer uw project gebruikmaakt van een pakket met een bekend beveiligingsprobleem en hulpprogramma's die u kunnen helpen.
Als u een upgrade uitvoert naar een nieuwere versie van het pakket, wordt de waarschuwing waarschijnlijk opgelost.
Als uw project niet rechtstreeks verwijst naar het pakket (het is een transitief pakket), dotnet nuget why kan worden gebruikt om te begrijpen welk pakket ervoor zorgde dat het in uw project werd opgenomen.
U kunt de URL van het advies over beveiligingsproblemen controleren om te zien welke versies van het pakket zijn opgelost of controleer uw geconfigureerde pakketbronnen om te zien welke versies van het pakket beschikbaar zijn.
De gebruikersinterface van Pakketbeheer van Visual Studio kan laten zien welke pakketversies worden beïnvloed en welke geen bekende beveiligingsproblemen hebben.
Als deze waarschuwingen ertoe leiden dat herstel mislukt omdat u gebruikt TreatWarningsAsErrors, kunt u toevoegen om toe te staan <WarningsNotAsErrors>NU1901;NU1902;NU1903;NU1904</WarningsNotAsErrors> dat deze codes als waarschuwingen blijven.
Als u geen melding wilt ontvangen van beveiligingsproblemen die minder ernstig zijn dan een niveau waarmee u vertrouwd bent, kunt u het projectbestand bewerken en een MSBuild-eigenschap NuGetAuditLeveltoevoegen, met de waarde ingesteld op low, moderate, highof critical.
Bijvoorbeeld: <NuGetAuditLevel>high</NuGetAuditLevel>.
Als u een specifiek advies wilt onderdrukken, voegt u een MSBuild NuGetAuditSuppress-item toe.
Bijvoorbeeld <NuGetAuditSuppress Include="https://github.com/advisories/GHSA-g3q9-xf95-8hp5" />.
NuGetAuditSuppress is beschikbaar vanuit VS 17.11 en .NET 8.0.400 SDK voor projecten die gebruikmaken van PackageReferenceen van VS 17.12 voor projecten die gebruikmaken van packages.config.
Als u niet wilt dat NuGet tijdens het herstellen op pakketten met bekende beveiligingsproblemen controleert, voegt <NuGetAudit>false</NuGetAudit> u binnen een <PropertyGroup> in uw projectbestand of een bestand toeDirectory.Build.props.
Als u NuGet-controle wilt uitvoeren op ontwikkelcomputers, maar deze wilt uitschakelen voor CI-pijplijnen, kunt u profiteren van MSBuild-omgevingsvariabelen importeren en een NuGetAudit-omgevingsvariabele maken die is ingesteld false in uw pijplijndefinitie.
Voor projecten die zijn gericht op het .NET 10-framework, is de standaardinstelling NuGetAuditMode .all
Dit betekent dat NuGet rapporteert over transitieve pakketten met bekende beveiligingsproblemen voor alle frameworks in het project.
De waarde kan expliciet worden ingesteld om direct terug te keren naar de standaardwaarde van .NET 9.