NuGet 警告 NU1905

  • [アーティクル] 
warning NU1905: NuGetAudit is enabled, but no package sources contain known vulnerability data.

問題点

NuGetAudit は明示的に有効になっていますが、構成されているパッケージ ソースのいずれも、NuGet がチェックする脆弱性情報を提供しません。

解決策

NuGet は、構成されているすべてのパッケージ ソースに脆弱性情報を要求します。 NuGet の V3 サーバー API を実装するパッケージ ソースは、nuget.org の脆弱性データをミラーするなど、VulnerabilityInfo リソースを介してデータを提供できます。 パッケージ ソース管理者が脆弱性データを有効にする設定を持っている場合は、チェックできます。

この警告をエラーとして扱い、脆弱性チェックを実行できなかったときにビルドの失敗を発生させたい場合は、<WarningAsError>$(WarningAsError);NU1905</WarningAsError> をプロジェクト ファイルに追加できます。 すべての警告をエラーとして扱うために TreatWarningsAsErrors を使用している場合は、<NoWarn>$(NoWarn);NU1905</NoWarn> をプロジェクト ファイルに追加して、この警告メッセージを抑制したり、<WarningsNotAsErrors>NU1905</WarningsNotAsErrors> を追加して、この警告がエラーとして扱われるのを防ぐことができます。

Note

パッケージ ソースとして nuget.org を追加せずに脆弱性データを取得する要求があります。 一時的な軽減策として、セキュリティ ポリシーで許可されている場合は、パッケージ ソース マッピングを使用して、nuget.org 以外のパッケージ ソースからすべてのパッケージを取得できるため、パッケージ ソースとして nuget.org を追加すると、脆弱性データにのみ使用されます。

詳しくは、「パッケージの監査に関するドキュメント」を参照してください。