SecurityAdvisories

Если вы в настоящее время проживаете в России, пожалуйста, прочтите это сообщение.

Этот пакет гарантирует, что в вашем приложении не установлены зависимости с известными уязвимостями безопасности.

composer require --dev roave/security-advisories:dev-latest

Этот пакет не предоставляет никаких API или полезных классов: его единственная цель — предотвратить установку программного обеспечения с известными и задокументированными проблемами безопасности. Просто добавьте "roave/security-advisories": "dev-latest" в раздел "require-dev" вашего composer.json , и вы не сможете навредить себе программным обеспечением с известными уязвимостями безопасности.

Например, попробуйте следующее:

composer require --dev roave/security-advisories:dev-latest
# following commands will fail:
composer require symfony/symfony:2.5.2
composer require zendframework/zendframework:2.3.1 

Проверки выполняются только при добавлении новой зависимости через composer require или при запуске composer update : развертывание приложения с действительным composer.lock и через composer install не приведет к проверке версий безопасности.

Вы можете вручную запустить проверку версии, используя параметр --dry-run при обновлении, ничего не делая. Запуск composer update --dry-run roave/security-advisories — это эффективный способ вручную запустить проверку версии безопасности.

Доступно как часть подписки Tidelift.

Разработчики roave/security-advisories и тысяч других пакетов работают с Tidelift, чтобы обеспечить коммерческую поддержку и обслуживание зависимостей с открытым исходным кодом, которые вы используете для создания своих приложений. Экономьте время, снижайте риски и улучшайте работоспособность кода, платя при этом специалистам по сопровождению именно тех зависимостей, которые вы используете. Узнать больше.

Вы также можете связаться с нами по адресу [email protected], чтобы обсудить проблемы безопасности в вашем собственном проекте.

Этот пакет может потребоваться только в dev-latest : стабильных/помеченных версий никогда не будет из-за характера целевой проблемы. Проблемы безопасности на самом деле являются подвижной целью, и привязка вашего проекта к определенной версии пакета с тегами не будет иметь никакого смысла.

Поэтому этот пакет подходит только для установки в корень вашего развертываемого проекта.

Этот пакет извлекает информацию о существующих проблемах безопасности в различных проектах композиторов из репозитория FriendsOfPHP/security-advisories и базы данных рекомендаций GitHub.