Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Kommandotdotnet restore, som återställer beroenden och verktyg för ett projekt, skapar nu säkerhetsriskvarningar som standard.
Tidigare beteende
dotnet restore Tidigare avgavs inga säkerhetsriskvarningar som standard.
Nytt beteende
Om du utvecklar med .NET 8 SDK eller en senare version skapar dotnet restore du säkerhetsriskvarningar som standard för alla återställda projekt. När du läser in en lösning eller ett projekt eller kör ett CI/CD-skript kan den här ändringen bryta arbetsflödet om du har <TreatWarningsAsErrors> aktiverat det.
Version introducerad
Förhandsversion av .NET 8 4
Typ av icke-bakåtkompatibel ändring
Den här ändringen är en beteendeförändring.
Orsak till ändringen
Många användare vill veta om paketen de återställer innehåller några kända säkerhetsrisker. Den här funktionen var en funktion med hög begäran. Säkerhetsproblemen fortsätter att öka varje år och vissa kända säkerhetsproblem är inte tillräckligt synliga för att vidta omedelbara åtgärder.
Rekommenderad åtgärd
Egenskaperna som anges i de rekommenderade åtgärderna kan anges antingen i projektfilen (till exempel *.csproj- eller *.fsproj-filen) eller Directory.Build.props fil.
För att uttryckligen minska sannolikheten för att kompileringen avbryts på grund av varningar, kan du överväga hur du använder
<TreatWarningsAsErrors>och ställa in<WarningsNotAsErrors>NU1901;NU1902;NU1903;NU1904</WarningsNotAsErrors>för att säkerställa att kända säkerhetssårbarheter fortfarande är tillåtna i din miljö.<PropertyGroup> ... <TreatWarningsAsErrors>true</TreatWarningsAsErrors> <WarningsNotAsErrors>NU1901;NU1902;NU1903;NU1904</WarningsNotAsErrors> </PropertyGroup>Om du vill ange en annan säkerhetsgranskningsnivå lägger du till egenskapen i
<NuGetAuditLevel>projektfilen med möjliga värdenlowför ,moderate,highochcritical.<PropertyGroup> ... <NuGetAuditLevel>low</NuGetAuditLevel> </PropertyGroup>Om du vill ignorera dessa varningar kan du använda
<NoWarn>för att ignoreraNU1901-NU1904varningar.<PropertyGroup> ... <NoWarn>$(NoWarn);NU1901-NU1904</NoWarn> </PropertyGroup>Om du vill inaktivera det nya beteendet helt kan du ange projektegenskapen
<NuGetAudit>tillfalse.<PropertyGroup> ... <NuGetAudit>false</NuGetAudit> </PropertyGroup>
Se även
Samarbeta med oss på GitHub
Källan för det här innehållet finns på GitHub, där du även kan skapa och granska ärenden och pull-begäranden. Se vår deltagarguide för mer information.
