Symfony写了关于如何检查安全更新的信息:https://symfony.com/doc/current/security/security_checker.html并且它有效,在Akeneo中它向我展示了一个漏洞。
但是如何更新?我尝试了../composer.phar update和../composer.phar update symfony/symfony但不幸的是,当我再次检查时,漏洞仍然存在。 (https://github.com/akeneo/pim-community-dev/issues/7146)
/var/www/html/akeneo/pim-community-standard# ../composer.phar why dompdf/dompdf:0.6.1 Do not run Composer as root/super user! See https://getcomposer.org/root for details akeneo/pim-community-dev v2.0.6 requires dompdf/dompdf (0.6.1) /var/www/html/akeneo/pim-community-standard# ../composer.phar why-not dompdf/dompdf:0.6.2 Do not run Composer as root/super user! See https://getcomposer.org/root for details akeneo/pim-community-dev v2.0.6 requires dompdf/dompdf (0.6.1)
答案 0 :(得分:2)
安全检查抱怨软件包dompdf/dompdf已过时。因此,您必须找出负责安装此软件包的依赖项。您可以使用composer:
composer why dompdf/dompdf
一旦找到安装原因,您就可以检查是否可以将该依赖关系更新为支持/需要更新的dompdf版本的版本,或者如果您自己要求安装它,只需更新它。
或者你也可以问作曲家为什么不能通过以下方式安装新版本:
composer why-not dompdf/dompdf "^0.8"
如果您无法更新依赖于过时的dompdf版本的依赖项,您可能不得不求助于在该项目中为较新版本创建PR或分支项目并自行更新composer.json(不推荐)但是,由于保持更新的额外工作。)
编辑:看起来akeneo本身负责固定版本,您可以在回购邮件中看到:https://github.com/akeneo/pim-community-dev/blob/2.0/composer.json#L41
也许你可以创建一个更新composer.json的PR,也许可以放宽dompdf的版本限制。
答案 1 :(得分:1)
NicoHaase提到了我说的话:https://github.com/akeneo/pim-community-dev/issues/7146#issuecomment-344206254
没有人应该编辑composer.lock。只需阅读链接的错误报告 我以前的评论:Akeneo的维护者知道这些过时的 打包并计划在将来的任何时候修复它们
错误报告https://github.com/akeneo/pim-community-dev/issues/5233创建于2016年11月17日,但遗憾的是仍然没有。 Devs说要等。
答案 2 :(得分:0)
您是否看过您链接的“错误报告”中给出的答案? ;)