SecurityAdvisories

현재 러시아에 거주하고 계시다면 이 메시지를 읽어보시기 바랍니다.

이 패키지는 애플리케이션에 알려진 보안 취약점이 있는 종속성이 설치되어 있지 않은지 확인합니다.

composer require --dev roave/security-advisories:dev-latest

이 패키지는 API나 사용 가능한 클래스를 제공하지 않습니다. 유일한 목적은 알려지고 문서화된 보안 문제가 있는 소프트웨어의 설치를 방지하는 것입니다. composer.json 의 "require-dev" 섹션에 "roave/security-advisories": "dev-latest" 추가하기만 하면 알려진 보안 취약점이 있는 소프트웨어로 인해 피해를 입을 수 없습니다.

예를 들어 다음을 시도해 보세요.

composer require --dev roave/security-advisories:dev-latest
# following commands will fail:
composer require symfony/symfony:2.5.2
composer require zendframework/zendframework:2.3.1 

검사는 composer require 통해 새 종속성을 추가하거나 composer update 실행할 때만 실행됩니다. 유효한 composer.lock 잠금을 사용하고 composer install 통해 애플리케이션을 배포하면 보안 버전 검사가 트리거되지 않습니다.

아무것도 하지 않는 동안 업데이트 시 --dry-run 스위치를 사용하여 버전 확인을 수동으로 실행할 수 있습니다. composer update --dry-run roave/security-advisories 실행하는 것은 보안 버전 확인을 수동으로 트리거하는 효과적인 방법입니다.

Tidelift 구독의 일부로 제공됩니다.

roave/security-advisories 및 수천 개의 기타 패키지 관리자는 Tidelift와 협력하여 애플리케이션 구축에 사용하는 오픈 소스 종속성에 대한 상업적 지원 및 유지 관리를 제공하고 있습니다. 시간을 절약하고 위험을 줄이며 코드 상태를 개선하는 동시에 사용하는 정확한 종속성에 대한 비용을 관리자에게 지불합니다. 자세히 알아보세요.

귀하의 프로젝트에서 보안 문제를 조사하려면 [email protected]으로 문의하실 수도 있습니다.

이 패키지는 dev-latest 버전에서만 필요할 수 있습니다. 대상 문제의 특성으로 인해 안정적인 버전이나 태그가 지정된 버전은 없습니다. 보안 문제는 실제로 움직이는 목표이므로 프로젝트를 특정 태그가 지정된 패키지 버전에 고정하는 것은 의미가 없습니다.

따라서 이 패키지는 배포 가능한 프로젝트의 루트에 설치하는 데에만 적합합니다.

이 패키지는 FriendsOfPHP/security-advisories 저장소 및 GitHub Advisory Database에서 다양한 작성기 프로젝트의 기존 보안 문제에 대한 정보를 추출합니다.