TomsToolbox.NugetAudit 1.1.0

.NET 8.0

dotnet tool install --global TomsToolbox.NugetAudit --version 1.1.0

这个包包含一个 .NET 工具，您可以从 shell/命令行调用它。

dotnet new tool-manifest # if you are setting up this repo
dotnet tool install --local TomsToolbox.NugetAudit --version 1.1.0

这个包包含一个 .NET 工具，您可以从 shell/命令行调用它。

#tool dotnet:?package=TomsToolbox.NugetAudit&version=1.1.0

NuGet 团队不提供对此客户端的支持。请联系其维护者以获得支持。

nuke :add-package TomsToolbox.NugetAudit --version 1.1.0

NuGet 团队不提供对此客户端的支持。请联系其维护者以获得支持。

NugetAudit

A DotNet 命令行工具，用于从应用程序的 *.deps.json 文件创建漏洞报告

这个工具的目的

此工具可用于根据二进制交付创建漏洞报告，排除所有构建时依赖项。

与 dotnet list package --vulnerable 不同，它只对构建输出有效，而不是对源代码有效，因此即使在项目使用例如浮动的包版本时，它也会生成可重复的结果。

例如，在发布时创建已知漏洞的快照，然后定期将其与当前状态进行比较，以便可以检测到后来的新漏洞，并通知客户在漏洞可能影响产品时更新软件。

安装

dotnet tool install TomsToolbox.NugetAudit -g

用法

NugetAudit [--package-source <String>] [--use-config] [--config-name <String>] [--help] [--version] file-or-directory

NugetAudit

Arguments:
  0: file-or-directory    Path to a dependency file or a directory with files '*.deps.json' (Default: .)

Options:
  --package-source <String>    The package source used to get the vulnerability info (Default: https://api.nuget.org/v3/index.json)
  --use-config                 Ignore 'package-source' and read package source from nuget.config
  --config-name <String>       The name of the source, if 'use-config' is true
  -h, --help                   Show help message
  --version                    Show version

示例输出

{
  "reportVersion": 1,
  "sourceRepository": "https://api.nuget.org/v3/index.json",
  "packages": {
    "Microsoft.IdentityModel.JsonWebTokens.6.32.2.0": {
      "id": "Microsoft.IdentityModel.JsonWebTokens",
      "version": "6.32.2.0",
      "vulnerabilities": [
        {
          "severity": 1,
          "advisoryUrl": "https://github.com/advisories/GHSA-8g9c-28fc-mcx2"
        },
        {
          "severity": 1,
          "advisoryUrl": "https://github.com/advisories/GHSA-59j7-ghrg-fj52"
        }
      ]
    },
    "System.IdentityModel.Tokens.Jwt.6.32.2.0": {
      "id": "System.IdentityModel.Tokens.Jwt",
      "version": "6.32.2.0",
      "vulnerabilities": [
        {
          "severity": 1,
          "advisoryUrl": "https://github.com/advisories/GHSA-8g9c-28fc-mcx2"
        },
        {
          "severity": 1,
          "advisoryUrl": "https://github.com/advisories/GHSA-59j7-ghrg-fj52"
        }
      ]
    }
  }
}

Nuget配置

为了能够检索漏洞，需要一个支持包元数据的源仓库，例如 CVE/GHSA 从何而来？。

此工具默认使用 https://api.nuget.org/v3/index.json，它支持漏洞的包元数据端点。

可以指定替换存储库的命令行或通过 nuget.config 配置文件位置和用途。

产品	兼容的和额外的计算目标框架版本。
.NET	net8.0 兼容。 net8.0-android 已计算。 net8.0-browser 已计算。 net8.0-ios 已计算。 net8.0-maccatalyst 已计算。 net8.0-macos 已计算。 net8.0-tvos 已计算。 net8.0-windows 已计算。

兼容的目标框架

包含的目标框架（在包中包含）

了解有关目标框架和 .NET 标准化的更多信息。

此包没有依赖项。

版本	下载	最后更新
1.1.0	700	3/10/2024
1.0.0	314	2/22/2024