Блог

Согласно недавнему рентгеновскому сканированию JFrog, наше приложение (.NET 5) имеет «критическую» уязвимость из-за зависимости от конкретной версии Microsoft.NETCore.Platforms. Существует более новая версия пакета с устраненной уязвимостью, которую я хочу использовать вместо этого в своем проекте. Проблема, которую я имею, является то, что это не пакет, который мы явно добавлены в проект, а скорее зависимость, что некоторые другие пакеты, так просто добавив новую версию пакета для проекта недостаточно, чтобы избавиться от зависимости полностью; я все еще могу видеть ссылки на «плохие» версии проекта.активов.в формате JSON. Обновление до последней версии пакетов верхнего уровня помогло, но все же оставило некоторые ссылки на «плохую» версию Microsoft.NETCore.Platforms через зависимости зависимостей зависимостей.

Например, мы используем самую последнюю версию Microsoft.ApplicationInsights, но это зависит от системы.Диагностика.Счетчик производительности, который зависит от «плохих» платформ Microsoft.NETCore.

TLDR; Я хочу иметь возможность сообщить своему проекту: «Если у вас есть зависимость от этого пакета в любом месте вашего дерева зависимостей, не используйте версию X, вместо этого используйте версию Y», но я не уверен, существует ли способ сделать это.