0

Symfony 写了关于如何检查安全更新的文章:https : //symfony.com/doc/current/security/security_checker.html 并且它有效,在 Akeneo 中它向我展示了一个漏洞。但是怎么更新呢?我试过了../composer.phar update../composer.phar update symfony/symfony但不幸的是,当我再次检查时,漏洞仍然存在。(https://github.com/akeneo/pim-community-dev/issues/7146

/var/www/html/akeneo/pim-community-standard# ../composer.phar 为什么是 dompdf/dompdf:0.6.1
不要以 root/超级用户身份运行 Composer!有关详细信息,请参阅 https://getcomposer.org/root
akeneo/pim-community-dev v2.0.6 需要 dompdf/dompdf (0.6.1)


/var/www/html/akeneo/pim-community-standard# ../composer.phar 为什么不是 dompdf/dompdf:0.6.2
不要以 root/超级用户身份运行 Composer!有关详细信息,请参阅 https://getcomposer.org/root
akeneo/pim-community-dev v2.0.6 需要 dompdf/dompdf (0.6.1)
4

3 回答 3

2

安全检查抱怨包裹dompdf/dompdf已过时。所以你必须找出哪个依赖项负责安装这个包。您可以为此使用作曲家:

composer why dompdf/dompdf

一旦你找到它的安装原因,你可以检查你是否可以将该依赖项更新到支持/需要更新的 dompdf 版本的版本,或者如果你自己安装它,只需更新它。

或者,您也可以使用以下命令询问作曲家为什么不安装新版本:

composer why-not dompdf/dompdf "^0.8"

如果您无法更新依赖于过时的 dompdf 版本的任何依赖项,您可能不得不求助于在该项目中为更新版本创建 PR,或者分叉项目并自己更新 composer.json(但不推荐,因为保持更新的额外工作)。

编辑:看起来akeneo本身负责固定版本,正如您在回购中看到的那样:https ://github.com/akeneo/pim-community-dev/blob/2.0/composer.json#L41

也许您可以创建一个 PR 来更新 composer.json 并放宽 dompdf 的版本限制。

于 2017-11-14T09:27:48.680 回答
1

NicoHaase 提到了我要说的答案:https ://github.com/akeneo/pim-community-dev/issues/7146#issuecomment-344206254

没有人应该编辑 composer.lock。只需阅读我之前评论中链接的错误报告:Akeneo 的维护者知道这些过时的软件包并计划在未来的任何时候修复它们

错误报告https://github.com/akeneo/pim-community-dev/issues/5233创建于 2016 年 11 月 17 日,但不幸的是仍然没有。开发人员说等一下。

于 2017-11-14T10:24:30.903 回答
0

您是否查看了您链接的“错误报告”中给出的答案?;)

于 2017-11-14T08:29:14.840 回答