微軟提醒NuGet.org更新套件簽署憑證,受影響開發者應該於2024年4月8日之前更新憑證,避免屆時無法安裝新版本套件。受影響範圍包括使用NuGet用戶端政策、NuGet.exe verify指令或是dotnet nuget verify指令來驗證套件是由NuGet.org簽署的開發者。

自2018年以來,NuGet.org皆是使用X.509憑證簽署其NuGet套件,該憑證最後一次更新是在2021年3月15日,預計會在2024年5月15日到期。不過,微軟在4月8日就會以新憑證取代舊憑證,使用新憑證來簽署NuGet.org套件庫,目前已使用舊憑證簽署的套件將保持現有簽署狀態不變,但未來舊憑證就不會再被用來簽署新套件。

有三類可能受到影響的使用者,第一類是使用NuGet用戶端政策,執行NuGet.org可信任簽署者允許名單的用戶。NuGet用戶端策略是一套設定,由開發者或組織在NuGet用戶端上配置,以控制可被安裝和使用的套件,該政策明確限制系統僅可從包括NuGet.org在內的可信簽署者下載套件,因此使用NuGet用戶端政策需要更新政策設定,將新憑證新增到允許清單中,才能夠使用新憑證簽署的套件。

第二種可能受影響的用戶,是在Windows中使用NuGet.exe verify指令,驗證套件是否由NuGet.org簽署的開發者。而第三種則是使用dotnet nuget verify指令,驗證已簽署套件來自NuGet.org的開發者。使用新憑證簽署的NuGet.org套件安裝方式與使用舊憑證簽署的套件安裝方式相同,不過,如果開發者不在以上三種情況當中,那可能不會受到憑證更新的影響。

熱門新聞

Advertisement