微軟現在於Visual Studio 17.3中支援遞移相依(Transitive Dependency),以簡化開發者在Visual Studio中的NuGet套件日常管理工作。直接相依關係很容易追蹤,但是開發者通常很難追蹤遞移相依,因此微軟於Visual Studio 17.3引入一項實驗性功能,供使用者查看遞移相依項目,並能夠採取相關的措施,以快速追蹤並且修復漏洞。
當前知名的套件生態系,包括NuGet、npm、RubyGems和Maven Central,直接與遞移相依關係之間存在明顯的差異,根據GitHub的調查,專案的直接相依項目數量中位數為6到10個,但是直接相依關係所產生的遞移相依關係,可能會額外產生20到70個遞移相依項目,以.NET生態系來說,每個專案的平均相依項目的總數為50個。
這個問題使得軟體安全管理變得複雜,遞移相依項目中存在不少漏洞,使得漏洞修復工作充滿挑戰,因此現在微軟於Visual Studio的NuGet套件管理頁面中,加入遞移相依的標籤,用戶可以跟直接相依項目一樣,點擊遞移相依項目,並且隨時將任意遞移相依項目,提升為直接相依項目。
微軟提到,管理相依項目是一項重要的工作,用戶需要花費許多心力,才能正確追蹤相依的函式庫,透過更全面地掌握相依關係,深入了解函式庫可能存在的已揭露漏洞,並發現可能存在的攻擊路徑。
熱門新聞
2024-04-17
2024-04-17
2024-04-15
2024-04-18
2024-04-15
2024-04-15
Advertisement