SecurityAdvisories

Jika saat ini Anda tinggal di Rusia, harap baca pesan ini.

Paket ini memastikan bahwa aplikasi Anda tidak menginstal dependensi dengan kerentanan keamanan yang diketahui.

composer require --dev roave/security-advisories:dev-latest

Paket ini tidak menyediakan API atau kelas apa pun yang dapat digunakan: satu-satunya tujuan paket ini adalah untuk mencegah instalasi perangkat lunak dengan masalah keamanan yang diketahui dan terdokumentasi. Cukup tambahkan "roave/security-advisories": "dev-latest" ke bagian composer.json "require-dev" dan Anda tidak akan dapat merugikan diri sendiri dengan perangkat lunak yang diketahui memiliki kerentanan keamanan.

Misalnya, coba ikuti:

composer require --dev roave/security-advisories:dev-latest
# following commands will fail:
composer require symfony/symfony:2.5.2
composer require zendframework/zendframework:2.3.1 

Pemeriksaan hanya dijalankan ketika menambahkan ketergantungan baru melalui composer require atau ketika menjalankan composer update : menyebarkan aplikasi dengan composer.lock yang valid dan melalui composer install tidak akan memicu pemeriksaan versi keamanan apa pun.

Anda dapat memicu pemeriksaan versi secara manual dengan menggunakan tombol --dry-run pada pembaruan tanpa melakukan apa pun. Menjalankan composer update --dry-run roave/security-advisories adalah cara efektif untuk memicu pemeriksaan versi keamanan secara manual.

Tersedia sebagai bagian dari Langganan Tidelift.

Pengelola roave/penasihat keamanan dan ribuan paket lainnya bekerja sama dengan Tidelift untuk memberikan dukungan komersial dan pemeliharaan untuk dependensi sumber terbuka yang Anda gunakan untuk membangun aplikasi Anda. Menghemat waktu, mengurangi risiko, dan meningkatkan kesehatan kode, sekaligus membayar pengelola dependensi yang Anda gunakan. Pelajari lebih lanjut.

Anda juga dapat menghubungi kami di [email protected] untuk menyelidiki masalah keamanan di proyek Anda sendiri.

Paket ini hanya dapat diperlukan dalam versi dev-latest : tidak akan pernah ada versi stabil/yang diberi tag karena sifat masalah yang ditargetkan. Masalah keamanan sebenarnya adalah target yang bergerak, dan mengunci proyek Anda ke versi paket yang diberi tag tertentu tidak masuk akal.

Oleh karena itu, paket ini hanya cocok untuk instalasi di root proyek Anda yang dapat diterapkan.

Paket ini mengekstrak informasi tentang masalah keamanan yang ada di berbagai proyek komposer dari repositori FriendsOfPHP/security-advisories dan GitHub Advisory Database.