Composer действительно круто, но как мы узнаем, есть ли критическая ошибка в одном из необходимых пакетов? - PullRequest
Новая
       34

Composer действительно круто, но как мы узнаем, есть ли критическая ошибка в одном из необходимых пакетов?

0 голосов
/ 15 февраля 2020

Некоторые из моих приложений используют более 30 composer пакетов.

Использование всех этих пакетов заставило меня задуматься, что если некоторые из них обнаружат критическую проблему, требующую обновления, я не могу просто перепроверить вручную все они каждый день.

Обратите внимание, что я не хочу обновлять только новые функции, когда они в производстве, я хочу делать только критические обновления, поэтому я не могу просто проверить, есть ли вышла новая версия.

Я подумал об использовании для них второстепенных номеров исправлений, но я не думаю, что этого достаточно, поскольку некоторые пакеты не предоставляют обновления безопасности для старых версий.

My вопрос:

Есть ли простой способ следить за всеми этими пакетами, чтобы узнать, есть ли критическая проблема безопасности или ошибка, которая требует обновления? (может быть, есть опция флажка, о которой я не знаю, чтобы обновлять только пакеты, помеченные как «ciritical-bug-fix»?)

Вы, профессиональные парни, просто нуждаетесь в пакетах и ​​забыли, что они есть, когда вы достигнете производство?

PS Я слышал, что на самом деле не стоит запускать composer update в производственном режиме, так что в случае критического обновления как нам действовать?

1 Ответ

2 голосов
/ 15 февраля 2020

Самый простой способ - использовать пакет roave/security-advisories. Это пакет Composer, который содержит только набор правил conflict с пакетами с известными уязвимостями. На практике вы не сможете установить / обновить этот пакет, если у вас есть проблемы с безопасностью в ваших зависимостях.

Для установки пакета: 

composer require --dev roave/security-advisories:dev-master

После этого вы можете проверить свои зависимости, используя: 

composer update --dry-run roave/security-advisories

Если какая-либо из этих команд приведет к «Ваши требования не могут быть выполнены к ошибке "устанавливаемый набор пакетов", вы должны взглянуть на конфликтующие пакеты, так как они, вероятно, имеют некоторые известные проблемы безопасности.

...