根据最近的 JFrog X 射线扫描,我们的应用程序 (.NET 5) 由于依赖于特定版本的 Microsoft.NETCore.Platforms,因此存在“严重”漏洞。有一个较新版本的软件包解决了漏洞,我希望我的项目改用它。我遇到的问题是,这不是我们明确添加到项目中的包,而是一些其他包所具有的依赖项,因此仅将更新版本的包添加到项目中是不够的完全删除依赖;我仍然可以在 project.assets.json 中看到对“坏”版本的引用。升级到最新版本的顶级包有所帮助,但仍然留下了一些对 Microsoft.NETCore 的“坏”版本的引用。
例如,我们使用的是最新版本的 Microsoft.ApplicationInsights,但这依赖于 System.Diagnostics.PerformanceCounter,后者依赖于“坏”的 Microsoft.NETCore.Platforms。
TLDR;我希望能够告诉我的项目“如果您在依赖关系树中的任何位置都依赖此包,请不要使用版本 X,而是使用版本 Y”,但我不确定是否有办法这个。