SecurityAdvisories

Si vous vivez actuellement en Russie, veuillez lire ce message.

Ce package garantit que votre application ne dispose pas de dépendances installées présentant des vulnérabilités de sécurité connues.

composer require --dev roave/security-advisories:dev-latest

Ce package ne fournit aucune API ni classe utilisable : son seul but est d'empêcher l'installation de logiciels présentant des problèmes de sécurité connus et documentés. Ajoutez simplement "roave/security-advisories": "dev-latest" à la section "require-dev" de votre composer.json et vous ne pourrez pas vous nuire avec un logiciel présentant des vulnérabilités de sécurité connues.

Par exemple, essayez de suivre :

composer require --dev roave/security-advisories:dev-latest
# following commands will fail:
composer require symfony/symfony:2.5.2
composer require zendframework/zendframework:2.3.1 

Les vérifications ne sont exécutées que lors de l'ajout d'une nouvelle dépendance via composer require ou lors de l'exécution composer update : le déploiement d'une application avec un composer.lock valide et via composer install ne déclenchera aucune vérification des versions de sécurité.

Vous pouvez déclencher manuellement une vérification de version en utilisant le commutateur --dry-run sur une mise à jour sans rien faire. L'exécution composer update --dry-run roave/security-advisories est un moyen efficace de déclencher manuellement une vérification de version de sécurité.

Disponible dans le cadre de l’abonnement Tidelift.

Les responsables de roave/security-advisories et de milliers d'autres packages travaillent avec Tidelift pour fournir un support commercial et une maintenance pour les dépendances open source que vous utilisez pour créer vos applications. Gagnez du temps, réduisez les risques et améliorez la santé du code, tout en rémunérant les responsables des dépendances exactes que vous utilisez. Apprendre encore plus.

Vous pouvez également nous contacter à [email protected] pour examiner les problèmes de sécurité dans votre propre projet.

Ce package ne peut être requis que dans sa dev-latest : il n'y aura jamais de versions stables/balisées en raison de la nature du problème ciblé. Les problèmes de sécurité sont en fait une cible mouvante, et verrouiller votre projet sur une version spécifique du package n'aurait aucun sens.

Ce package ne convient donc qu'à une installation à la racine de votre projet déployable.

Ce package extrait des informations sur les problèmes de sécurité existants dans divers projets Composer du référentiel FriendsOfPHP/security-advisories et de la base de données consultative GitHub.