安全通告是一种报告安全漏洞信息的方法。Pub 使用 GitHub 通告数据库 发布 Dart 和 Flutter 软件包的安全通告。
要在 GitHub 存储库中创建通告,请使用 GitHub 的安全通告报告机制,如 GitHub 关于 创建存储库安全通告 的文档中所述。首先创建一个安全通告草稿,然后 GitHub 会对其进行审核并将其收录到中央通告数据库中。
pub 客户端中的安全公告
#pub 客户端会在解析依赖项时显示安全通告。例如,在运行 dart pub get
时,您将获得以下输出
$ dart pub get
Resolving dependencies...
http 0.13.0 (affected by advisory: [^0], 1.2.0 available)
Got dependencies!
Dependencies are affected by security advisories:
[^0]: https://github.com/advisories/GHSA-4rgh-jx4f-qfcq
如果解析识别到通告,Dart 团队建议您访问链接并查看通告。如果您评估漏洞影响了您的软件包,您应强烈考虑升级到不受影响的依赖项版本。
忽略安全公告
#如果安全通告与您的应用程序无关,您可以通过将通告标识符添加到软件包的 pubspec.yaml
中的 ignored_advisories
列表中来禁止警告。例如,以下内容忽略了 GHSA 标识符为 GHSA-4rgh-jx4f-qfcq
的通告
yaml
name: myapp
dependencies:
foo: ^1.0.0
ignored_advisories:
- GHSA-4rgh-jx4f-qfcq
ignored_advisories
列表仅影响根软件包。您依赖项中忽略的通告对您自己软件包的软件包解析没有影响。