内容

安全通告是一种报告安全漏洞信息的方法。Pub 使用 GitHub 通告数据库 发布 Dart 和 Flutter 软件包的安全通告。

要在 GitHub 存储库中创建通告,请使用 GitHub 的安全通告报告机制,如 GitHub 关于 创建存储库安全通告 的文档中所述。首先创建一个安全通告草稿,然后 GitHub 会对其进行审核并将其收录到中央通告数据库中。

pub 客户端中的安全公告

#

pub 客户端会在解析依赖项时显示安全通告。例如,在运行 dart pub get 时,您将获得以下输出

$ dart pub get
Resolving dependencies...
http 0.13.0 (affected by advisory: [^0], 1.2.0 available)
Got dependencies!
Dependencies are affected by security advisories:
  [^0]: https://github.com/advisories/GHSA-4rgh-jx4f-qfcq

如果解析识别到通告,Dart 团队建议您访问链接并查看通告。如果您评估漏洞影响了您的软件包,您应强烈考虑升级到不受影响的依赖项版本。

忽略安全公告

#

如果安全通告与您的应用程序无关,您可以通过将通告标识符添加到软件包的 pubspec.yaml 中的 ignored_advisories 列表中来禁止警告。例如,以下内容忽略了 GHSA 标识符为 GHSA-4rgh-jx4f-qfcq 的通告

yaml
name: myapp
dependencies:
  foo: ^1.0.0
ignored_advisories:
 - GHSA-4rgh-jx4f-qfcq

ignored_advisories 列表仅影响根软件包。您依赖项中忽略的通告对您自己软件包的软件包解析没有影响。