安全公告

安全公告是报告安全漏洞信息的途径。Pub 使用 GitHub Advisory Database 发布 Dart 和 Flutter 包的安全公告。

要在您的 GitHub 仓库中创建公告，请使用 GitHub 的安全公告报告机制，如 GitHub 文档“创建仓库安全公告”中所述。首先，您创建一个安全公告草稿，然后 GitHub 将对其进行审核并纳入中央公告数据库。

pub 客户端在依赖项解析时显示安全公告。例如，当运行 dart pub get 时，您将获得以下输出

$ dart pub get
Resolving dependencies...
http 0.13.0 (affected by advisory: [^0], 1.2.0 available)
Got dependencies!
Dependencies are affected by security advisories:
  [^0]: https://github.com/advisories/GHSA-4rgh-jx4f-qfcq

如果解析识别出公告，Dart 团队建议您访问链接并查看公告。如果您评估漏洞会影响您的包，则应强烈考虑升级到不受影响的依赖项版本。

如果安全公告与您的应用程序无关，您可以通过将公告标识符添加到您的包的 pubspec.yaml 中的 ignored_advisories 列表中来抑制警告。例如，以下内容忽略了 GHSA 标识符为 GHSA-4rgh-jx4f-qfcq 的公告

name: myapp
dependencies:
  foo: ^1.0.0
ignored_advisories:
 - GHSA-4rgh-jx4f-qfcq

ignored_advisories 列表仅影响根包。依赖项中被忽略的公告对您自己包的包解析没有影响。

除非另有说明，否则本网站上的文档反映的是 Dart 3.7.1 版本。页面上次更新于 2024-02-20。查看源代码 或 报告问题。