'dotnet restore' produz avisos de vulnerabilidade de segurança
O comando dotnet restore, que restaura as dependências e ferramentas de um projeto, agora produz avisos sobre vulnerabilidade de segurança por padrão.
Comportamento anterior
Anteriormente, dotnet restore não emitia nenhum aviso de vulnerabilidade de segurança por padrão.
Novo comportamento
Se estiver desenvolvendo com o SDK do .NET 8 ou uma versão posterior, dotnet restore produz avisos de vulnerabilidade de segurança por padrão para todos os projetos restaurados. Ao carregar uma solução ou projeto, ou executar um script de CI/CD, essa alteração poderá interromper seu fluxo de trabalho se <TreatWarningsAsErrors> estiver habilitado.
Versão introduzida
.NET 8 versão prévia 4
Tipo de alteração interruptiva
Esta é uma alteração comportamental.
Motivo da alteração
Na maioria dos casos, quando você restaura um pacote, você deseja saber se a versão restaurada do pacote contém alguma vulnerabilidade de segurança conhecida. Essa funcionalidade foi adicionada por ser um recurso muito solicitado, além do fato de que as preocupações com a segurança continuam aumentando a cada ano e que os problemas de segurança conhecidos podem não ser visíveis o suficiente para que sejam tomadas medidas imediatas.
Ação recomendada
Para reduzir explicitamente a probabilidade de isso interromper sua compilação devido a avisos, você pode considerar o uso de
<TreatWarningsAsErrors>e utilizar<WarningsNotAsErrors>NU1901;NU1902;NU1903;NU1904</WarningsNotAsErrors>para garantir que as vulnerabilidades de segurança conhecidas ainda sejam permitidas no seu ambiente.Se você deseja definir um nível de auditoria de segurança diferente, adicione a propriedade
<NuGetAuditLevel>no seu arquivo do projeto com valores possíveis delow,moderate,highecritical.Se você deseja ignorar esses avisos, pode utilizar
<NoWarn>para suprimir os avisosNU1901-NU1904.Para desabilitar totalmente o novo comportamento, você pode definir a propriedade de projeto
<NuGetAudit>comofalse.
Confira também
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de