M> Вопрос первый можно ли ставить пакет у которого указаны уязвимости и как можно считать уязвимость устранена?

Ну nuget как-то проводит проверки и собирает информацию о наличии уязвимостей в тех или иных версиях пакетов. . Но строго говоря ты никогда не может быть уверен что уязвимостей нет. Можешь только значить что нет известных уязвимостей.


M> Вопрос второй как понять что использовать вместо устаревшей библиотеки?

Либо новую версию той же библиотеки, либо что-то совсем более другое аналогичное по теме. Тут уж сам решаешь.

В данном конкретном случае с Microsoft.AspNetCore все немного сложнее. Они сперва были отдельными пакетами, устанавливаемыми независимо от фреймворка, что позиционировалось как большой шаг вперед по сравнению с .net framework ASP.NET, где они были интегрированы. Но начиная с, кажется, 3.1, AspNet.Core опять включили в состав .NET, и использовать надо именно библиотеки из него.

M> Вопрос третий. Если нет незакрытых уязвимостей можно ли ставить устаревший пакет в проект (к примеру, чтобы не переписывать код завязанный на старый пакет)?

Конечно можно, почему нет?

И даже с имеющимися незакрытыми уязвимостями — тоже можно, если согласен с рисками их наличия.

Вот есть библиотека Microsoft.AspNetCore.App.
В nuget написано
Deprecated: This package has been deprecated as it is legacy and no longer maintained.
This package is vulnerable! It may lead to specific problems in your project. Follow below links for details.
Checkmarx© advisory: CVE-2021-34532 (Severity: Moderate)
Checkmarx© advisory: CVE-2022-21911 (Severity: High)
Checkmarx© advisory: CVE-2023-29326 (Severity: High)
Checkmarx© advisory: CVE-2023-32030 (Severity: High)
Checkmarx© advisory: CVE-2022-30130 (Severity: Moderate)
Checkmarx© advisory: CVE-2021-24112 (Severity: Critical)
Checkmarx© advisory: CVE-2021-26701 (Severity: Critical)
Checkmarx© advisory: CVE-2021-1721 (Severity: Moderate)

Вопрос первый можно ли ставить пакет у которого указаны уязвимости и как можно считать уязвимость устранена? Есть официальный фикс для винды или к примеру следующая версия дотнета относительно багованной? Я прошелся по списку этих уязвимостей и поискал в интернете официальные фиксы и вот к примеру в этом патче как минимум две указаны что устранены, но там патчи для винды.
Вопрос второй как понять что использовать вместо устаревшей библиотеки? тут микрософот дает очень странную рекомендацию, использовать прямую ссылку по сути на ту же либу вместо качания из nuget но в нугете сам пишет, что пакет этот устаревший и вообще все пакеты Microsoft*** у них устаревшие теперь
Вопрос третий. Если нет незакрытых уязвимостей можно ли ставить устаревший пакет в проект (к примеру, чтобы не переписывать код завязанный на старый пакет)?