安全公告

安全公告是报告安全漏洞信息的手段。Pub 使用 GitHub 咨询数据库 来发布 Dart 和 Flutter 包的安全公告。

要在您的 GitHub 存储库中创建公告，请使用 GitHub 的安全公告报告机制，如 GitHub 关于创建存储库安全公告的文档中所述。首先，您创建一个草稿安全公告，然后由 GitHub 审查并纳入中央咨询数据库。

pub 客户端在依赖项解析时显示安全公告。例如，当运行 dart pub get 时，您将获得以下输出

$ dart pub get
Resolving dependencies...
http 0.13.0 (affected by advisory: [^0], 1.2.0 available)
Got dependencies!
Dependencies are affected by security advisories:
  [^0]: https://github.com/advisories/GHSA-4rgh-jx4f-qfcq

如果解析识别出公告，Dart 团队建议您访问链接并查看公告。如果您评估该漏洞会影响您的软件包，则应强烈考虑升级到不受影响的依赖项版本。

如果安全公告与您的应用程序无关，您可以通过将公告标识符添加到软件包的 pubspec.yaml 中的 ignored_advisories 列表中来抑制警告。例如，以下代码忽略了 GHSA 标识符为 GHSA-4rgh-jx4f-qfcq 的公告

name: myapp
dependencies:
  foo: ^1.0.0
ignored_advisories:
 - GHSA-4rgh-jx4f-qfcq

ignored_advisories 列表仅影响根软件包。依赖项中忽略的公告不会对您自己软件包的软件包解析产生影响。

除非另有说明，否则本网站上的文档反映的是 Dart 3.6.0。页面最后更新于 2024-02-20。 查看源代码 或报告问题。