"php bin/console security:check"后如何更新
How to update after "php bin/console security:check"
Symfony 撰写了有关如何检查安全更新的文章:https://symfony.com/doc/current/security/security_checker.html 它有效,在 Akeneo 中它显示了一个漏洞。
但是怎么更新呢?我尝试了 ../composer.phar update 和 ../composer.phar update symfony/symfony 但不幸的是,当我再次检查时漏洞仍然存在。 (https://github.com/akeneo/pim-community-dev/issues/7146)
/var/www/html/akeneo/pim-community-standard# ../composer.phar 为什么 dompdf/dompdf:0.6.1
不要 运行 Composer 作为 root/super 用户!有关详细信息,请参阅 https://getcomposer.org/root
akeneo/pim-community-dev v2.0.6 需要 dompdf/dompdf (0.6.1)
/var/www/html/akeneo/pim-community-standard# ../composer.phar 为什么不 dompdf/dompdf:0.6.2
不要 运行 Composer 作为 root/super 用户!有关详细信息,请参阅 https://getcomposer.org/root
akeneo/pim-community-dev v2.0.6 需要 dompdf/dompdf (0.6.1)
您是否查看了您链接的 "bug report" 中给出的答案? ;)
安全检查抱怨包 dompdf/dompdf 已过时。所以你必须找出哪个依赖项负责安装这个包。您可以为此使用作曲家:
composer why dompdf/dompdf
一旦你找出安装它的原因,你可以检查你是否可以将该依赖项更新到一个版本 supporting/requiring 一个更新的 dompdf 版本,或者如果你安装它是通过自己要求它来更新它。
或者你也可以通过以下方式询问 composer 为什么它不会安装新版本:
composer why-not dompdf/dompdf "^0.8"
如果您无法更新依赖于过时的 dompdf 版本的任何依赖项,您可能不得不求助于在该项目中为较新版本创建 PR 或分叉项目并自己更新 composer.json(但不推荐,因为要使其保持最新状态需要额外的工作。
编辑: 看起来 akeneo 本身负责固定版本,正如您在 repo 中看到的那样:https://github.com/akeneo/pim-community-dev/blob/2.0/composer.json#L41
也许您可以创建一个 PR 来更新 composer.json 并可能放宽对 dompdf 的版本限制。
NicoHaase 提到了我要说的答案:https://github.com/akeneo/pim-community-dev/issues/7146#issuecomment-344206254
No one should edit composer.lock. Just read the bug report linked in
my former comment: the maintainers of Akeneo know about these outdated
packages and plan to fix them anytime in the future
错误报告 https://github.com/akeneo/pim-community-dev/issues/5233 创建于 2016 年 11 月 17 日,但不幸的是仍然没有。开发者说等一下。
Symfony 撰写了有关如何检查安全更新的文章:https://symfony.com/doc/current/security/security_checker.html 它有效,在 Akeneo 中它显示了一个漏洞。
但是怎么更新呢?我尝试了 ../composer.phar update 和 ../composer.phar update symfony/symfony 但不幸的是,当我再次检查时漏洞仍然存在。 (https://github.com/akeneo/pim-community-dev/issues/7146)
/var/www/html/akeneo/pim-community-standard# ../composer.phar 为什么 dompdf/dompdf:0.6.1 不要 运行 Composer 作为 root/super 用户!有关详细信息,请参阅 https://getcomposer.org/root akeneo/pim-community-dev v2.0.6 需要 dompdf/dompdf (0.6.1) /var/www/html/akeneo/pim-community-standard# ../composer.phar 为什么不 dompdf/dompdf:0.6.2 不要 运行 Composer 作为 root/super 用户!有关详细信息,请参阅 https://getcomposer.org/root akeneo/pim-community-dev v2.0.6 需要 dompdf/dompdf (0.6.1)
您是否查看了您链接的 "bug report" 中给出的答案? ;)
安全检查抱怨包 dompdf/dompdf 已过时。所以你必须找出哪个依赖项负责安装这个包。您可以为此使用作曲家:
composer why dompdf/dompdf
一旦你找出安装它的原因,你可以检查你是否可以将该依赖项更新到一个版本 supporting/requiring 一个更新的 dompdf 版本,或者如果你安装它是通过自己要求它来更新它。
或者你也可以通过以下方式询问 composer 为什么它不会安装新版本:
composer why-not dompdf/dompdf "^0.8"
如果您无法更新依赖于过时的 dompdf 版本的任何依赖项,您可能不得不求助于在该项目中为较新版本创建 PR 或分叉项目并自己更新 composer.json(但不推荐,因为要使其保持最新状态需要额外的工作。
编辑: 看起来 akeneo 本身负责固定版本,正如您在 repo 中看到的那样:https://github.com/akeneo/pim-community-dev/blob/2.0/composer.json#L41
也许您可以创建一个 PR 来更新 composer.json 并可能放宽对 dompdf 的版本限制。
NicoHaase 提到了我要说的答案:https://github.com/akeneo/pim-community-dev/issues/7146#issuecomment-344206254
No one should edit composer.lock. Just read the bug report linked in my former comment: the maintainers of Akeneo know about these outdated packages and plan to fix them anytime in the future
错误报告 https://github.com/akeneo/pim-community-dev/issues/5233 创建于 2016 年 11 月 17 日,但不幸的是仍然没有。开发者说等一下。