Sicherheitslücken in verwendenten NuGet-Paketen finden

Beim Aufräumen oder beim Review von .NET-Projekten gehört ein schneller Check auf bekannte Sicherheitslücken in NuGet-Paketen unbedingt dazu. Glücklicherweise liefert das .NET-CLI-Tool bereits einen einfachen Befehl, der dir genau das zeigt — auch transitive Abhängigkeiten.

Der Befehl

dotnet list <solution.sln|project.csproj> package --include-transitive --vulnerable

dotnet list <solution.sln|project.csproj> package --include-transitive --vulnerable

Alle Projekte in einer Solution prüfen:

dotnet list .\OpenWeatherMapSharp.sln package --include-transitive --vulnerable

dotnet list .\OpenWeatherMapSharp.sln package --include-transitive --vulnerable

Nur ein einzelnes Projekt prüfen:

dotnet list .\src\MyApp\MyApp.csproj package --include-transitive --vulnerable

dotnet list .\src\MyApp\MyApp.csproj package --include-transitive --vulnerable

--include-transitive sorgt dafür, dass auch Abhängigkeiten, die nicht direkt in deinem Projekt stehen (also transitive Pakete), mit geprüft werden. --vulnerable filtert auf bekannte, gemeldete Schwachstellen.

Was die Ausgabe bedeutet

Projekt / Target Framework: Es wird pro Projekt und pro Ziel-Framework (z. B. net9.0 oder netstandard2.0) angezeigt.

Paket oberster Ebene vs. Transitives Paket: Steht ein > vor dem Paketnamen, ist es ein direkt referenziertes Paket (top-level). Wenn „Transitives Paket“ steht, kommt das Paket indirekt.

Angefordert vs. Aufgelöst: Angefordert = das in deiner Projektdatei angegebene (oder von einem anderen Paket gewünschte) Versionsthema; Aufgelöst = die tatsächlich vom Resolver verwendete Version.

Schweregrad: z. B. Low, Moderate, High, Critical. Konzentriere dich zuerst auf High/Critical.

URL zur Empfehlung: Link zu der Sicherheits-Advisory (z. B. GHSA), dort stehen Details und oft Fix-Hinweise.

Tipps & Best Practices

Regelmäßig prüfen — mindestens vor Releases und als Teil des CI-Pipelines. Sicherheits-Advisories können jederzeit erscheinen.

Include transitive immer verwenden — viele Probleme kommen von indirekten Abhängigkeiten.

Central Package Management (Directory.Packages.props) nutzen, wenn du mehrere Projekte hast — Updates so zentral steuern.

Monitoring: Nutze zusätzlich Sicherheits-Scanner, Dependabot (GitHub) oder andere Tools, um automatische PRs für Updates zu erhalten.

Dokumentation: Wenn kein Fix möglich ist, dokumentiere die eingeschätzte Risikoauswirkung und ggf. Workarounds im Issue Tracker.

Fazit

Mit dotnet list <sln|proj> package --include-transitive --vulnerable bekommst du schnell einen klaren Überblick über bekannte Sicherheitslücken in deinen NuGet-Abhängigkeiten — genau so wie im Screenshot. Kombiniert mit einem festen CI-Check und einem standardisierten Update-Workflow reduziert das deine Angriffsfläche erheblich und macht Dependency-Management planbar.