SecurityAdvisories
1.0.0
إذا كنت تعيش حاليا في روسيا، يرجى قراءة هذه الرسالة.
تضمن هذه الحزمة أن التطبيق الخاص بك لا يحتوي على تبعيات مثبتة ذات ثغرات أمنية معروفة.
composer require --dev roave/security-advisories:dev-latest لا توفر هذه الحزمة أي واجهة برمجة تطبيقات أو فئات قابلة للاستخدام: الغرض الوحيد منها هو منع تثبيت البرامج التي بها مشكلات أمنية معروفة وموثقة. ما عليك سوى إضافة "roave/security-advisories": "dev-latest" إلى قسم "require-dev" الخاص composer.json ، ولن تتمكن من إيذاء نفسك باستخدام البرامج ذات الثغرات الأمنية المعروفة.
على سبيل المثال، حاول اتباع ما يلي:
composer require --dev roave/security-advisories:dev-latest
# following commands will fail:
composer require symfony/symfony:2.5.2
composer require zendframework/zendframework:2.3.1 يتم تنفيذ عمليات التحقق فقط عند إضافة تبعية جديدة عبر composer require أو عند تشغيل composer update : لن يؤدي نشر تطبيق باستخدام composer.lock الصالح وعبر composer install إلى تشغيل أي فحص لإصدارات الأمان.
يمكنك تشغيل التحقق من الإصدار يدويًا باستخدام مفتاح
--dry-runفي التحديث أثناء عدم القيام بأي شيء. يعد تشغيلcomposer update --dry-run roave/security-advisoriesطريقة فعالة لتشغيل فحص إصدار الأمان يدويًا.
متاح كجزء من اشتراك Tidelift.
يعمل القائمون على صيانة roave/security-advisories وآلاف الحزم الأخرى مع Tidelift لتقديم الدعم التجاري والصيانة للتبعيات مفتوحة المصدر التي تستخدمها لبناء تطبيقاتك. يمكنك توفير الوقت وتقليل المخاطر وتحسين سلامة التعليمات البرمجية، مع الدفع لمشرفي التبعيات الدقيقة التي تستخدمها. يتعلم أكثر.
يمكنك أيضًا الاتصال بنا على [email protected] للنظر في المشكلات الأمنية في مشروعك الخاص.
لا يمكن أن تكون هذه الحزمة مطلوبة إلا في الإصدار dev-latest الخاص بها: لن تكون هناك إصدارات مستقرة/موسومة أبدًا بسبب طبيعة المشكلة المستهدفة. تعتبر المشكلات الأمنية في الواقع هدفًا متحركًا، ولن يكون لتأمين مشروعك على إصدار محدد من الحزمة أي معنى.
ولذلك فإن هذه الحزمة مناسبة فقط للتثبيت في جذر مشروعك القابل للنشر.
تستخرج هذه الحزمة معلومات حول مشكلات الأمان الموجودة في مشاريع الملحن المختلفة من مستودع FriendsOfPHP/security-advisories وقاعدة بيانات GitHub الاستشارية.
