symfony — Как обновить после & quot; php bin / console security: проверьте & quot;

Question

symfony — Как обновить после & quot; php bin / console security: проверьте & quot;

Symfony напишите, как проверять наличие обновлений безопасности: https://symfony.com/doc/current/security/security_checker.html и это работает, в Akeneo это показывает мне одну уязвимость.
А как обновить? Я старался ../composer.phar update а также ../composer.phar update symfony/symfony но, к сожалению, уязвимость все еще существует, когда я проверяю снова. (https://github.com/akeneo/pim-community-dev/issues/7146)

/ var / www / html / akeneo / pim-community-standard # ../composer.phar why dompdf / dompdf: 0.6.1
Не запускайте Composer от имени пользователя root / суперпользователя! Смотрите https://getcomposer.org/root для деталей
akeneo / pim-community-dev v2.0.6 требует dompdf / dompdf (0.6.1) / var / www / html / akeneo / pim-community-standard # ../composer.phar почему-не dompdf / dompdf: 0.6.2
Не запускайте Composer от имени пользователя root / суперпользователя! Смотрите https://getcomposer.org/root для деталей
akeneo / pim-community-dev v2.0.6 требует dompdf / dompdf (0.6.1)

0

akeneo php symfony

Решение

Другие решения

NicoHaase упомянул ответ, который я бы сказал: https://github.com/akeneo/pim-community-dev/issues/7146#issuecomment-344206254

Никто не должен редактировать composer.lock. Просто прочитайте отчет об ошибке, связанный с
мой прежний комментарий: сопровождающие Akeneo знают об этих устаревших
пакеты и планируем исправить их в любое время в будущем

Отчет об ошибке https://github.com/akeneo/pim-community-dev/issues/5233 был создан 17 ноября 2016 года, но, к сожалению, все еще ничего. Девс сказал подождать.

1

Вы смотрели на ответ, данный в сообщении об ошибке, на которое вы ссылались? 😉

0

Источник

Accepted Answer

Проверка безопасности жалуется на пакет dompdf/dompdf быть устаревшим. Таким образом, вы должны выяснить, какая зависимость отвечает за установку этого пакета. Вы можете использовать композитор для этого:

composer why dompdf/dompdf

Как только вы узнаете, почему он установлен, вы можете либо проверить, можете ли вы обновить эту зависимость до версии, поддерживающей / требующей более новую версию dompdf, либо установить ее, потребовав ее самостоятельно, просто обновив ее.

В качестве альтернативы вы также можете спросить композитора, почему он не установит новую версию, используя:

composer why-not dompdf/dompdf "^0.8"

Если вы не можете обновить какую-либо зависимость, зависящую от устаревшей версии dompdf, вам, возможно, придется прибегнуть либо к созданию PR в этом проекте для более новой версии, либо к разветвлению проекта и самостоятельному обновлению composer.json (хотя не рекомендуется, так как дополнительная работа по поддержанию его в актуальном состоянии).

редактировать: Похоже, что сам akeneo отвечает за закрепление версии, как вы можете видеть в репозитории: https://github.com/akeneo/pim-community-dev/blob/2.0/composer.json#L41

Может быть, вы можете создать PR, обновляющий composer.json и, возможно, ослабив ограничение версии для dompdf.

2