SecurityAdvisories

如果您目前居住在俄罗斯，请阅读此消息。

此包可确保您的应用程序没有安装具有已知安全漏洞的依赖项。

composer require --dev roave/security-advisories:dev-latest

该软件包不提供任何 API 或可用类：其唯一目的是防止安装具有已知和记录的安全问题的软件。只需将"roave/security-advisories": "dev-latest"添加到您的composer.json "require-dev"部分，您将无法使用具有已知安全漏洞的软件来伤害自己。

例如，尝试以下操作：

composer require --dev roave/security-advisories:dev-latest
# following commands will fail:
composer require symfony/symfony:2.5.2
composer require zendframework/zendframework:2.3.1 

仅当通过composer require添加新依赖项或运行composer update时才会执行检查：使用有效的composer.lock并通过composer install部署应用程序不会触发任何安全版本检查。

您可以在不执行任何操作的情况下使用更新上的--dry-run开关手动触发版本检查。运行composer update --dry-run roave/security-advisories是手动触发安全版本检查的有效方法。

作为 Tidelift 订阅的一部分提供。

roave/security-advisories 和数千个其他软件包的维护者正在与 Tidelift 合作，为您用于构建应用程序的开源依赖项提供商业支持和维护。节省时间、降低风险并改善代码运行状况，同时向您使用的确切依赖项的维护者付费。了解更多。

您还可以通过 [email protected] 联系我们，以调查您自己项目中的安全问题。

该软件包只能在其dev-latest版本中需要：由于目标问题的性质，永远不会有稳定/标记版本。安全问题实际上是一个不断变化的目标，将您的项目锁定到包的特定标记版本没有任何意义。

因此，该包仅适合安装在可部署项目的根目录中。

该包从 FriendsOfPHP/security-advisories 存储库和 GitHub Advisory 数据库中提取有关各种 Composer 项目中现有安全问题的信息。