SecurityAdvisories

現在ロシアにお住まいの方は、このメッセージをお読みください。

このパッケージは、アプリケーションに既知のセキュリティ脆弱性を伴う依存関係がインストールされていないことを保証します。

composer require --dev roave/security-advisories:dev-latest

このパッケージは API や使用可能なクラスを提供しません。その唯一の目的は、既知の文書化されたセキュリティ問題を伴うソフトウェアのインストールを防ぐことです。 "roave/security-advisories": "dev-latest"をcomposer.jsonの"require-dev"セクションに追加するだけで、既知のセキュリティ脆弱性を持つソフトウェアによって被害を受けることがなくなります。

たとえば、次のことを試してください。

composer require --dev roave/security-advisories:dev-latest
# following commands will fail:
composer require symfony/symfony:2.5.2
composer require zendframework/zendframework:2.3.1 

チェックは、 composer requireを介して新しい依存関係を追加するとき、または、 composer updateを実行するときにのみ実行されます。有効なcomposer.lockを使用して、 composer install介してアプリケーションをデプロイしても、セキュリティ バージョン チェックはトリガーされません。

何もしていないときに更新で--dry-runスイッチを使用すると、バージョン チェックを手動でトリガーできます。セキュリティ バージョン チェックを手動でトリガーするにはcomposer update --dry-run roave/security-advisories実行するのが効果的です。

Tidelift サブスクリプションの一部として利用できます。

roave/security-advisories および他の何千ものパッケージのメンテナは、Tidelift と協力して、アプリケーションの構築に使用するオープンソースの依存関係に対する商用サポートとメンテナンスを提供しています。使用する正確な依存関係の保守者に料金を支払いながら、時間を節約し、リスクを軽減し、コードの健全性を向上させます。もっと詳しく知る。

独自のプロジェクトのセキュリティ問題を調査するには、[email protected] までご連絡ください。

このパッケージはdev-latestバージョンでのみ必要です。対象となる問題の性質上、安定したタグ付きバージョンは存在しません。実際、セキュリティ問題は常に変動するターゲットであり、プロジェクトをパッケージの特定のタグ付きバージョンにロックすることは意味がありません。

したがって、このパッケージは、配置可能なプロジェクトのルートにインストールする場合にのみ適しています。

このパッケージは、FriendsOfPHP/security-advisories リポジトリと GitHub Advisory Database からさまざまな Composer プロジェクトの既存のセキュリティ問題に関する情報を抽出します。