SecurityAdvisories

Wenn Sie derzeit in Russland leben, lesen Sie bitte diese Nachricht.

Dieses Paket stellt sicher, dass in Ihrer Anwendung keine Abhängigkeiten mit bekannten Sicherheitslücken installiert sind.

composer require --dev roave/security-advisories:dev-latest

Dieses Paket stellt keine API oder verwendbaren Klassen bereit: Sein einziger Zweck besteht darin, die Installation von Software mit bekannten und dokumentierten Sicherheitsproblemen zu verhindern. Fügen Sie einfach "roave/security-advisories": "dev-latest" zu Ihrem composer.json "require-dev" hinzu und Sie können sich nicht durch Software mit bekannten Sicherheitslücken schaden.

Versuchen Sie beispielsweise Folgendes:

composer require --dev roave/security-advisories:dev-latest
# following commands will fail:
composer require symfony/symfony:2.5.2
composer require zendframework/zendframework:2.3.1 

Die Prüfungen werden nur ausgeführt, wenn über composer require eine neue Abhängigkeit hinzugefügt wird oder wenn composer update ausgeführt wird: Die Bereitstellung einer Anwendung mit einem gültigen composer.lock und über composer install löst keine Überprüfung der Sicherheitsversionen aus.

Sie können eine Versionsprüfung manuell auslösen, indem Sie bei einem Update den Schalter --dry-run verwenden, während Sie nichts tun. Das Ausführen composer update --dry-run roave/security-advisories ist eine effektive Möglichkeit, manuell eine Sicherheitsversionsprüfung auszulösen.

Verfügbar als Teil des Tidelift-Abonnements.

Die Betreuer von Roave/Security-Advisories und Tausenden anderer Pakete arbeiten mit Tidelift zusammen, um kommerziellen Support und Wartung für die Open-Source-Abhängigkeiten bereitzustellen, die Sie zum Erstellen Ihrer Anwendungen verwenden. Sparen Sie Zeit, reduzieren Sie Risiken und verbessern Sie den Zustand des Codes, während Sie gleichzeitig die Betreuer der genauen Abhängigkeiten bezahlen, die Sie verwenden. Erfahren Sie mehr.

Sie können uns auch unter [email protected] kontaktieren, um Sicherheitsprobleme in Ihrem eigenen Projekt zu untersuchen.

Dieses Paket kann nur in seiner dev-latest Entwicklerversion benötigt werden: Aufgrund der Art des Problems, auf das es abzielt, wird es niemals stabile/getaggte Versionen geben. Sicherheitsprobleme sind in der Tat ein bewegliches Ziel, und es würde keinen Sinn machen, Ihr Projekt auf eine bestimmte getaggte Version des Pakets zu sperren.

Dieses Paket ist daher nur für die Installation im Stammverzeichnis Ihres bereitstellbaren Projekts geeignet.

Dieses Paket extrahiert Informationen zu bestehenden Sicherheitsproblemen in verschiedenen Composer-Projekten aus dem FriendsOfPHP/security-advisories-Repository und der GitHub Advisory Database.