Vulnerabilità NuGet packages

4 Risposte

• 

  Alka

  Utente Famoso

  Iscritto da

  nov, 2014

  Messaggi:

  3312

  Re: Vulnerabilità NuGet packages

  10 lug 2024, 14:56

  10/07/2024 - 7409 ha scritto:

  ---

  Non appena eseguo l'update di una delle 2 rimanenti Visual Studio 2022 mostra il seguente messaggio di errore:

  

  Qualcuno mi aiuta a risolverlo e sopratutto a capire perchè accade ?

  Questo accade perché la versione del package che stai utilizzando (jQuery.UI.Theme.Redmond) richiede una specifica versione del package JQuery: aggiornando quest'ultimo, la versione non è compatibile con quella del primo, come poi è indicato nel messaggio di errore.

  Risolverlo non è semplice: occorre trovare una combinazione di versioni di quei package compatibili tra loro, oppure sostituirli con alternative a seconda dei quello che fanno. E' probabilmente necessario un intervento manuale.

  10/07/2024 - 7409 ha scritto:

  ---

  Ultima domanda o dubbio, aggiornare le vulnerabilità di questi package è buona norma da eseguire ?

  Di norma sì. Sempre di norma, tenendo conto che potenzialmente hanno delle “breaking change”, è una operazione che va fatta con un minimo di criterio e con adeguato test, soprattutto se cambia la “major version” del package.

  10/07/2024 - 7409 ha scritto:

  ---

  L'update può provocare malfunzionamenti nella mia applicazione ?

  E' possibile e pure molto probabile, se il package non viene aggiornato da tempo e - come detto sopra - si aggiorna a una nuova “major release”.

• M

  migliorabile

  Super Famoso

  Iscritto da

  apr, 2013

  Messaggi:

  6072

  Re: Vulnerabilità NuGet packages

  10 lug 2024, 15:00

  Il problema con jquery è jqueryui te lo dice:

  jqueryui usa AL MASSIMO jquery v2. Tu stai installando jquery v3, e lui si imbippa. 

  2 soluzione ‘canoniche’ :

  1. installi jquery v2
  2. trovi la versione di jqueryui che funziona con jquery v3

  . 

  Ci sarebbero altre soluzioni, MA per applicarle bisogna essere programmatori STRA-esperti. 

  Risolvere le vulnerabilita e' cosa buona e giusta MA c'e' anche la questione che il tuo programma DEVE  continuare a funzionare. 

  Quindi SE la risoluzione della vulnerabilita ti schianta l'applicazione, la vulnerabilita aspetta! 

• 7

  7409

  Pochi posts

  Iscritto da

  feb, 2024

  Messaggi:

  19

  Re: Vulnerabilità NuGet packages

  10 lug 2024, 15:27

  10/07/2024 - migliorabile ha scritto:

  ---

  Il problema con jquery è jqueryui te lo dice:

  jqueryui usa AL MASSIMO jquery v2. Tu stai installando jquery v3, e lui si imbippa. 

  2 soluzione ‘canoniche’ :

  1. installi jquery v2
  2. trovi la versione di jqueryui che funziona con jquery v3

  non trovo però la versione compatibile con jquery v3. Mi puoi aiutare ?

  Ma se invece rimuovo aggiorno a v3 per risolvere la vulnerabilità e rimuovo “redmond” cosa mi perdo ? Funziona ancora la mia WEB App ?

  . 

  Ci sarebbero altre soluzioni, MA per applicarle bisogna essere programmatori STRA-esperti. 

  Risolvere le vulnerabilita e' cosa buona e giusta MA c'e' anche la questione che il tuo programma DEVE  continuare a funzionare. 

  Quindi SE la risoluzione della vulnerabilita ti schianta l'applicazione, la vulnerabilita aspetta! 

• 

  Alka

  Utente Famoso

  Iscritto da

  nov, 2014

  Messaggi:

  3312

  Re: Vulnerabilità NuGet packages

  10 lug 2024, 15:52

  10/07/2024 - 7409 ha scritto:

  ---

  non trovo però la versione compatibile con jquery v3. Mi puoi aiutare ?

  Non è detto che esista.

  10/07/2024 - 7409 ha scritto:

  ---

  Ma se invece rimuovo aggiorno a v3 per risolvere la vulnerabilità e rimuovo “redmond” cosa mi perdo ? Funziona ancora la mia WEB App ?

  Puoi solo provare, previo backup (anche se dovresti usare un sistema di controllo del codice sorgente, tipo Git, SVN o altri), e vedere cosa succede: non sappiamo come hai utilizzato i package, quindi non possiamo dirti cosa succederà in caso di update. Devi verificarlo tu.