blog.packagist.com

Dev back

Introducing: Update Review

Private Packagist introduit une nouvelle fonctionnalité d'Update Review qui permet aux utilisateurs d'afficher les changements dans le fichier composer.lock dans une table claire lors de la mise à jour des dépendances dans une pull request. Cette fonctionnalité, disponible sans coût supplémentaire, facilite la revue des modifications des dépendances, réduisant ainsi les risques d'erreurs et de problèmes de compatibilité. Les utilisateurs peuvent consulter un résumé humainement lisible des changements et des liens directs vers les diffs nécessaires, rendant la gestion des dépendances plus efficace et sécurisée.

blog.packagist.com

composervcsgit
Dev back

Sunsetting the PHP Version Stats Blog Series

L'auteur annonce la fin de sa série d'articles sur les statistiques de l'utilisation des versions de PHP, qui seront désormais automatisées et intégrées directement sur Packagist.org. La nouvelle fonctionnalité permettra aux mainteneurs de consulter les statistiques d'utilisation de PHP par paquet et version, facilitant ainsi la prise de décisions sur le support des versions. De plus, il parle de l'importance de la sensibilisation à la cybersécurité et du soutien à l'open-source.

blog.packagist.com

phppackagistcomposer
Dev back

PHP Versions Stats - 2021.1 Edition

L'article présente les statistiques d'utilisation des versions de PHP en mai 2021, montrant que PHP 7.4 continue de croître tandis que l'adoption de PHP 8 reste limitée. Il aborde également les exigences des paquets PHP sur Packagist.org, notant que PHP 7.1 est encore largement requis. L'article encourage la mise à jour vers Composer 2 pour profiter des améliorations de performance.

blog.packagist.com

phpcomposer
Sécurité

Composer Command Injection Vulnerability

Une nouvelle vulnérabilité de type injection de commande a été détectée dans Composer. Les versions 2.0.13 et 1.10.22 corrigent cette faille qui permettait une exécution de commandes à distance via des URL non assainies dans le fichier composer.json. Bien que jugée non exploitée, il est recommandé de faire la mise à jour et d'auditer les fichiers composer.lock afin d'éliminer tout URL potentiellement dangereux. Composer 2.0 offre des améliorations significatives en termes de performances et de gestion de la mémoire.

blog.packagist.com

composerphpmercurial
Sécurité

Git Clone Security Vulnerability

Le projet Git a publié des mises à jour pour corriger une vulnérabilité de sécurité (CVE-2021-21300) qui permet d'exécuter du code à distance via des filtres dans des systèmes de fichiers sans distinction de casse pendant une opération de clonage. Plusieurs versions sécurisées sont disponibles et il est recommandé de mettre à jour. Des étapes de mitigation sont fournies pour ceux qui ne peuvent pas mettre à jour. Composer utilise Git pour cloner des dépendances, et il est conseillé aux utilisateurs de prendre des précautions lors du clonage de dépôts non fiables.

blog.packagist.com

gitcomposerphp