安全性公告
安全性公告是用於報告安全性漏洞資訊的方式。Pub 使用 GitHub Advisory Database 發佈 Dart 和 Flutter 套件的安全性公告。
若要在您的 GitHub 儲存庫中建立公告,請使用 GitHub 的安全性公告報告機制,如 GitHub 文件中關於建立儲存庫安全性公告的說明。首先,您建立草稿安全性公告,然後由 GitHub 審查並匯入中央公告資料庫。
pub 客户端中的安全性公告
#pub 客户端會在相依性解析時顯示安全性公告。例如,當執行 dart pub get 時,您會得到以下輸出
$ dart pub get
Resolving dependencies...
http 0.13.0 (affected by advisory: [^0], 1.2.0 available)
Got dependencies!
Dependencies are affected by security advisories:
[^0]: https://github.com/advisories/GHSA-4rgh-jx4f-qfcq如果解析識別出公告,Dart 團隊建議您造訪連結並檢閱公告。如果您評估漏洞會影響您的套件,您應強烈考慮升級至不受影響的相依性版本。
忽略安全性公告
#如果安全性公告與您的應用程式無關,您可以將公告識別碼新增至您套件的 pubspec.yaml 中的 ignored_advisories 清單,以抑制警告。例如,以下範例忽略了 GHSA 識別碼為 GHSA-4rgh-jx4f-qfcq 的公告
yaml
name: myapp
dependencies:
foo: ^1.0.0
ignored_advisories:
- GHSA-4rgh-jx4f-qfcqignored_advisories 清單僅影響根套件。相依性中忽略的公告對您自身套件的套件解析沒有任何影響。
除非另有說明,否則本網站上的文件反映的是 Dart 3.7.1 版本。頁面最後更新於 2024-02-20。 檢視原始碼 或回報問題。