我有几个 c# MVC asp.NET 项目并且已经完成了所有项目并更新了一些包以通过包管理器修补 github 中出现的安全漏洞。
虽然一切都很好,但我正在寻找一些“快速而肮脏”的东西,在那里我可以提供我所有 packages.config 文件的列表,它告诉我任何需要修补的东西以及 package.config 的项目/路径来自.
有什么东西可以做到这一点吗?
Jetbrain 的 Rider 是一个非常好的 .NET 开发 IDE(恕我直言,比 Visual Studio 更好),它会通知引用的 Nuget 包中的已知漏洞。
我怀疑如果 Jetbrains 已经有了这个功能,微软很快就会复制它,通常情况就是这样。
不幸的是,还没有一种方法可以自动化它(例如在 CI 管道中)。但是在 VS 中,如果你“管理解决方案的 NuGet 包”(简单的方法,右键单击解决方案资源管理器中的解决方案,然后选择管理 nuget 包),安装的选项卡应该告诉你(通过警告图标)哪些包具有任何已知的漏洞.请注意,您必须使用提供漏洞数据的包源,据我所知只有https://api.nuget.org/v3/index.json。如果您使用来自 nuget.org 的“upsources”的不同包源,它可能不会传递漏洞数据。您需要与 nuget 提要提供商核实(或使用具有已知漏洞的包进行测试,例如 newtonsoft.json < 13.0.0)
我通常不这样做,但由于选项非常有限,我创建了一个小应用程序,它实际上可以做我想做的事。 我已经提交了一个可以在这里找到的版本。 您需要关闭文件并创建控制台解决方案 - 但是应该都可以。 https://github.com/rhousham/NugetMeta/tree/main 实际上,您可以传入一个包含所有 packages.config 列表的文件参数,它将从 Nuget 平台获取任何漏洞。
解决方案不是很好-但是适合我的需要。