"dotnet restore" genera advertencias de vulnerabilidades de seguridad
El comando dotnet restore, que restaura las dependencias y las herramientas de un proyecto, ahora genera advertencias de vulnerabilidad de seguridad de forma predeterminada.
Comportamiento anterior
Anteriormente, dotnet restore no emitía ninguna advertencia de vulnerabilidad de seguridad de forma predeterminada.
Comportamiento nuevo
Si está desarrollando con el SDK de .NET 8 o una versión posterior, dotnet restore genera de forma predeterminada advertencias de vulnerabilidad de seguridad para todos los proyectos restaurados. Al cargar una solución o proyecto o ejecutar un script de CI/CD, este cambio puede interrumpir el flujo de trabajo si ha habilitado <TreatWarningsAsErrors>.
Versión introducida
.NET 8 Versión preliminar 4
Tipo de cambio importante
Este es un cambio de funcionamiento.
Motivo del cambio
Muchos usuarios quieren saber si los paquetes que restauran contienen vulnerabilidades de seguridad conocidas. Esta funcionalidad era una característica muy solicitada. Los problemas de seguridad siguen aumentando cada año y algunos problemas de seguridad conocidos no son lo suficientemente visibles para tomar medidas inmediatas.
Acción recomendada
Para reducir explícitamente la probabilidad de esta interrupción de la compilación debido a advertencias, puede considerar el uso de
<TreatWarningsAsErrors>y usar<WarningsNotAsErrors>NU1901;NU1902;NU1903;NU1904</WarningsNotAsErrors>para asegurarse de que las vulnerabilidades de seguridad conocidas todavía están permitidas en su entorno.Si desea establecer un nivel de auditoría de seguridad diferente, agregue la propiedad
<NuGetAuditLevel>al archivo del proyecto con los valores posibles delow,moderate,highycritical.Si desea omitir estas advertencias, puede usar
<NoWarn>para suprimir las advertenciasNU1901-NU1904.Para deshabilitar completamente el nuevo comportamiento, puede establecer la propiedad del proyecto
<NuGetAudit>enfalse.
