SecurityAdvisories

如果您目前居住在俄羅斯，請閱讀此訊息。

此套件可確保您的應用程式沒有安裝具有已知安全漏洞的依賴項。

composer require --dev roave/security-advisories:dev-latest

該軟體包不提供任何 API 或可用類別：其唯一目的是防止安裝已知和記錄的安全問題的軟體。只需將"roave/security-advisories": "dev-latest"添加到您的composer.json "require-dev"部分，您將無法使用具有已知安全漏洞的軟體來傷害自己。

例如，請嘗試以下操作：

composer require --dev roave/security-advisories:dev-latest
# following commands will fail:
composer require symfony/symfony:2.5.2
composer require zendframework/zendframework:2.3.1 

只有在透過composer require新增相依性或執行composer update時才會執行檢查：使用有效的composer.lock並透過composer install部署應用程式不會觸發任何安全性版本檢查。

您可以在不執行任何操作的情況下使用更新上的--dry-run開關手動觸發版本檢查。執行composer update --dry-run roave/security-advisories是手動觸發安全版本檢查的有效方法。

作為 Tidelift 訂閱的一部分提供。

roave/security-advisories 和數千個其他軟體包的維護者正在與 Tidelift 合作，為您用於建立應用程式的開源依賴項提供商業支援和維護。節省時間、降低風險並改善程式碼運作狀況，同時向您使用的確切依賴項的維護者付費。了解更多。

您也可以透過 [email protected] 聯絡我們，以調查您自己專案中的安全問題。

該軟體包只能在其dev-latest版本中需要：由於目標問題的性質，永遠不會有穩定/標記版本。安全性問題實際上是一個不斷變化的目標，將您的專案鎖定到套件的特定標記版本沒有任何意義。

因此，該套件僅適合安裝在可部署專案的根目錄中。

該套件從 FriendsOfPHP/security-advisories 儲存庫和 GitHub Advisory 資料庫中提取有關各種 Composer 專案中現有安全性問題的資訊。