Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Neu in .NET 8.0 [35]: Sicherheitswarnungen vor NuGet-Paketen

Visual Studio und die .NET-Kommandozeilenwerkzeuge können nun vor Paketen mit Sicherheitslücken warnen.

In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen
Lupe, unter der sich ein Warndreieck befindet.

(Bild: Dilok Klaisataporn/Shutterstock.com)

Lesezeit: 1 Min.
Developer
Von
  • Dr. Holger Schwichtenberg

Bei der Paketverwaltung können die Paketverwaltungsbefehle
Der Dotnet-Doktor – Holger Schwichtenberg

Dr. Holger Schwichtenberg ist technischer Leiter des Expertennetzwerks www.IT-Visions.de, das mit 53 renommierten Experten zahlreiche mittlere und große Unternehmen durch Beratungen und Schulungen sowie bei der Softwareentwicklung unterstützt. Durch seine Auftritte auf zahlreichen nationalen und internationalen Fachkonferenzen sowie mehr als 90 Fachbücher und mehr als 1500 Fachartikel gehört Holger Schwichtenberg zu den bekanntesten Experten für .NET und Webtechniken in Deutschland. 

dotnet add package

und

dotnet restore

sowie die Übersetzungsbefehle

dotnet build

und

msbuild

nun Sicherheitswarnungen beim Verwenden von NuGet-Paketen mit Sicherheitslücken ausgeben (siehe Abbildungen).

Die Serie zu den Neuerungen in .NET 8.0

Wählbar ist, ab welchem Schweregrad man Meldungen erhält, zum Beispiel

<PropertyGroup>
  <NuGetAuditLevel>moderate</NuGetAuditLevel>
</PropertyGroup>

Die hier einstellbaren Level sind low, moderate, high und critical.

Entwickler und Entwicklerinnen können alle NuGet-Sicherheitswarnungen mit der Projekteinstellung

<PropertyGroup>
  <NuGetAudit>false</NuGetAudit>
</PropertyGroup>

unterbinden. Seit .NET SDK 8.0.400 und Visual Studio 17.11 kann man alternativ auch nur einzelne Warnungen unterdrücken mit <NuGetAuditSuppress>:

<ItemGroup>
  <NuGetAuditSuppress Include="https://github.com/advisories/GHSA-98g6-xh36-x2p7" />
</ItemGroup>

Dieses Tag unterdrückt diese Warnung:

Warning NU1903: Package 'System.Data.SqlClient' 4.8.5 has a known high severity vulnerability, https://github.com/advisories/GHSA-98g6-xh36-x2p7

Man sieht die Warnung auch in Visual Studio:

  • Solution Explorer
  • Paketreferenzen
  • Nuget Package Manager GUI
  • Build-Ausgabe
  • Error List

Tipp: Die Sicherheitswarnungen erhält man auch in Projekten mit .NET 5.0, 6.0 und 7.0, sofern man das .NET 8.0 SDK verwendet.

Online-Konferenz zu .NET 9.0 am 19. November

(Bild: Dmytro Vikarchuk/Shutterstock)

Auf der Online-Konferenz betterCode() .NET 9.0 am 19. November 2024 von iX und dpunkt.verlag präsentieren .NET-Experten von www.IT-Visions.de (u.a. der Autor dieses Blogbeitrags) den fertigen Stand von .NET 9.0 anhand von Praxisbeispielen. Dazu zählen die Neuerungen in .NET 9.0 SDK, C# 13.0, ASP.NET Core 9.0, Blazor 9.0, Windows Forms 9.0, WPF 9.0, WinUI, .NET MAUI 9.0 und die Integration von Künstlicher Intelligenz in .NET-Anwendungen. Das Programm bietet sechs Vorträge, eine Diskussion und sechs Workshops.

Bis zum 22. Oktober sind Tickets zum Frühbucherpreis erhältlich.

Sicherheitswarnungen im NuGet-Package-Manager-GUI in Visual Studio bei Lücken in NuGet-Paketen

(Bild: Screenshot (Holger Schwichtenberg))

Sicherheitswarnungen im Solution Explorer in Visual Studio bei Lücken in NuGet-Paketen

(Bild: Screenshot (Holger Schwichtenberg))

Sicherheitswarnungen beim Ausführen von dotnet restore bei Lücken in NuGet-Paketen

(Bild: Screenshot (Holger Schwichtenberg))

Update

Aktualisierung aufgrund von Änderungen in Bezug auf Sicherheitswarnungen beim Verwenden von NuGet-Paketen.

(rme)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten