SecurityAdvisories

Si actualmente vive en Rusia, lea este mensaje.

Este paquete garantiza que su aplicación no tenga dependencias instaladas con vulnerabilidades de seguridad conocidas.

composer require --dev roave/security-advisories:dev-latest

Este paquete no proporciona ninguna API ni clases utilizables: su único propósito es evitar la instalación de software con problemas de seguridad conocidos y documentados. Simplemente agregue "roave/security-advisories": "dev-latest" a la sección "require-dev" de su composer.json y no podrá hacerse daño con software con vulnerabilidades de seguridad conocidas.

Por ejemplo, intente lo siguiente:

composer require --dev roave/security-advisories:dev-latest
# following commands will fail:
composer require symfony/symfony:2.5.2
composer require zendframework/zendframework:2.3.1 

Las comprobaciones solo se ejecutan cuando se agrega una nueva dependencia a través de composer require o cuando se ejecuta composer update : implementar una aplicación con un composer.lock válido y mediante composer install no activará ninguna verificación de versiones de seguridad.

Puede activar manualmente una verificación de versión usando el interruptor --dry-run en una actualización sin hacer nada. Ejecutar composer update --dry-run roave/security-advisories es una forma efectiva de activar manualmente una verificación de la versión de seguridad.

Disponible como parte de la suscripción Tidelift.

Los mantenedores de roave/security-advisories y miles de otros paquetes están trabajando con Tidelift para brindar soporte comercial y mantenimiento para las dependencias de código abierto que utiliza para crear sus aplicaciones. Ahorre tiempo, reduzca el riesgo y mejore la salud del código, mientras paga a los mantenedores de las dependencias exactas que utiliza. Obtenga más información.

También puede contactarnos en [email protected] para investigar problemas de seguridad en su propio proyecto.

Este paquete solo puede ser necesario en su dev-latest : nunca habrá versiones estables/etiquetadas debido a la naturaleza del problema al que se dirige. De hecho, los problemas de seguridad son un objetivo en movimiento y bloquear su proyecto en una versión etiquetada específica del paquete no tendría ningún sentido.

Por lo tanto, este paquete solo es adecuado para su instalación en la raíz de su proyecto implementable.

Este paquete extrae información sobre problemas de seguridad existentes en varios proyectos de compositor del repositorio FriendsOfPHP/security-advisories y la base de datos de asesoramiento de GitHub.