SecurityAdvisories

Se você mora atualmente na Rússia, leia esta mensagem.

Este pacote garante que seu aplicativo não tenha dependências instaladas com vulnerabilidades de segurança conhecidas.

composer require --dev roave/security-advisories:dev-latest

Este pacote não fornece nenhuma API ou classes utilizáveis: seu único propósito é impedir a instalação de software com problemas de segurança conhecidos e documentados. Basta adicionar "roave/security-advisories": "dev-latest" à seção "require-dev" do seu composer.json e você não poderá se prejudicar com software com vulnerabilidades de segurança conhecidas.

Por exemplo, tente seguir:

composer require --dev roave/security-advisories:dev-latest
# following commands will fail:
composer require symfony/symfony:2.5.2
composer require zendframework/zendframework:2.3.1 

As verificações são executadas apenas ao adicionar uma nova dependência por meio composer require ou ao executar composer update : implantar um aplicativo com um composer.lock válido e por meio composer install não acionará nenhuma verificação de versões de segurança.

Você pode acionar manualmente uma verificação de versão usando a opção --dry-run em uma atualização sem fazer nada. Executar composer update --dry-run roave/security-advisories é uma maneira eficaz de acionar manualmente uma verificação de versão de segurança.

Disponível como parte da assinatura Tidelift.

Os mantenedores do roave/security-advisories e milhares de outros pacotes estão trabalhando com o Tidelift para fornecer suporte comercial e manutenção para as dependências de código aberto que você usa para construir seus aplicativos. Economize tempo, reduza riscos e melhore a integridade do código, pagando aos mantenedores pelas dependências exatas que você usa. Saber mais.

Você também pode entrar em contato conosco pelo e-mail [email protected] para analisar questões de segurança em seu próprio projeto.

Este pacote só pode ser necessário em sua versão dev-latest : nunca haverá versões estáveis/marcadas devido à natureza do problema visado. As questões de segurança são, na verdade, um alvo móvel, e bloquear seu projeto em uma versão específica do pacote com tags não faria sentido.

Este pacote, portanto, é adequado apenas para instalação na raiz do seu projeto implantável.

Este pacote extrai informações sobre problemas de segurança existentes em vários projetos do compositor do repositório FriendsOfPHP/security-advisories e do GitHub Advisory Database.