內容

安全性公告

安全性公告是一種報告安全性漏洞資訊的方法。Pub 使用 GitHub Advisory Database 來發布 Dart 和 Flutter 套件的安全性公告。

若要於 GitHub 儲存庫中建立諮詢,請使用 GitHub 的安全諮詢回報機制,如 GitHub 文件中的 建立儲存庫安全諮詢 所述。首先,您會建立一個安全諮詢草稿,然後 GitHub 會檢閱並將其納入中央諮詢資料庫。

pub 客戶端的安全性公告

#

pub 資訊客戶端會在相依性解析時顯示安全諮詢。例如,執行 dart pub get 時,您會看到下列輸出

$ dart pub get
Resolving dependencies...
http 0.13.0 (affected by advisory: [^0], 1.2.0 available)
Got dependencies!
Dependencies are affected by security advisories:
  [^0]: https://github.com/advisories/GHSA-4rgh-jx4f-qfcq

如果解析識別出諮詢,Dart 團隊建議您前往連結並檢閱諮詢。如果您評估此漏洞會影響您的套件,您應強烈考慮升級至不受影響的相依性版本。

忽略安全性公告

#

如果安全諮詢與您的應用程式無關,您可以將諮詢識別碼新增至套件的 pubspec.yaml 中的 ignored_advisories 清單中,以抑制警告。例如,下列會忽略 GHSA 識別碼為 GHSA-4rgh-jx4f-qfcq 的諮詢

yaml
name: myapp
dependencies:
  foo: ^1.0.0
ignored_advisories:
 - GHSA-4rgh-jx4f-qfcq

ignored_advisories 清單只會影響根套件。相依性中忽略的諮詢不會對您自己的套件的套件解析造成影響。