"dotnet restore" ger säkerhetsriskvarningar

Kommandotdotnet restore, som återställer beroenden och verktyg för ett projekt, skapar nu säkerhetsriskvarningar som standard.

Tidigare beteende

dotnet restore Tidigare avgavs inga säkerhetsriskvarningar som standard.

Nytt beteende

Om du utvecklar med .NET 8 SDK eller en senare version skapar dotnet restore du säkerhetsriskvarningar som standard för alla återställda projekt. När du läser in en lösning eller ett projekt eller kör ett CI/CD-skript kan den här ändringen bryta arbetsflödet om du har <TreatWarningsAsErrors> aktiverat det.

Version introducerad

Förhandsversion av .NET 8 4

Typ av icke-bakåtkompatibel ändring

Den här ändringen är en beteendeförändring.

Orsak till ändringen

Många användare vill veta om paketen de återställer innehåller några kända säkerhetsrisker. Den här funktionen var en funktion med hög begäran. Säkerhetsproblemen fortsätter att öka varje år och vissa kända säkerhetsproblem är inte tillräckligt synliga för att vidta omedelbara åtgärder.

Rekommenderad åtgärd

• Om du uttryckligen vill minska sannolikheten för att det här bryter mot bygget på grund av varningar kan du överväga din användning av <TreatWarningsAsErrors> och användning <WarningsNotAsErrors>NU1901;NU1902;NU1903;NU1904</WarningsNotAsErrors> för att säkerställa att kända säkerhetsrisker fortfarande tillåts i din miljö.

• Om du vill ange en annan säkerhetsgranskningsnivå lägger du till egenskapen i <NuGetAuditLevel> projektfilen med möjliga värden lowför , moderate, highoch critical.

• Om du vill ignorera dessa varningar kan du använda <NoWarn> för att ignorera NU1901-NU1904 varningar.

• Om du vill inaktivera det nya beteendet helt kan du ange projektegenskapen <NuGetAudit> till false.

Se även

• Granska säkerhetsrisker (dotnet restore)
• Granska paketberoenden för säkerhetsrisker