安全諮詢

安全諮詢是報告安全漏洞資訊的一種方式。Pub 使用 GitHub Advisory Database 釋出 Dart 和 Flutter 包的安全諮詢。

要在 GitHub 倉庫中建立安全諮詢，請使用 GitHub 的安全諮詢報告機制，具體操作請參閱 GitHub 文件中的 建立倉庫安全諮詢。首先，您需要建立一份安全諮詢草稿，該草稿將由 GitHub 稽核並錄入到中央安全諮詢資料庫中。

pub 客戶端會在依賴解析時顯示安全諮詢。例如，執行 dart pub get 時，您將看到以下輸出

dart pub get
Resolving dependencies...
http 0.13.0 (affected by advisory: [^0], 1.2.0 available)
Got dependencies!
Dependencies are affected by security advisories:
  [^0]: https://github.com/advisories/GHSA-4rgh-jx4f-qfcq

如果解析識別出安全諮詢，Dart 團隊建議您訪問連結並檢視諮詢內容。如果您評估認為該漏洞會影響您的包，強烈建議您考慮升級到不受該漏洞影響的依賴版本。

如果某個安全諮詢與您的應用不相關，您可以透過將安全諮詢識別符號新增到包的 pubspec.yaml 檔案中的 ignored_advisories 列表中來抑制警告。例如，以下配置會忽略 GHSA 識別符號為 GHSA-4rgh-jx4f-qfcq 的安全諮詢

name: myapp
dependencies:
  foo: ^1.0.0
ignored_advisories:
 - GHSA-4rgh-jx4f-qfcq

ignored_advisories 列表僅影響根包。您依賴項中忽略的安全諮詢不會影響您自己包的依賴解析。