摘要:
Composer是PHP的依赖管理工具,用于管理项目所... Composer是PHP的依赖管理工具,用于管理项目所需的第三方库及其版本。可以类比与java的maven工具。博主在使用composer导入phpoffice/phpspreadsheet的1.8.2版本的时候发现该版本已经被composer标准为存在安全漏洞版本。提示代码为: - Root composer.json requires phpoffice/phpspreadsheet 1.8.2 (exact version match: 1.8.2 or 1.8.2.0), found phpoffice/phpspreadsheet[1.8.2] but these were not loaded, because they are affected by security advisories. To ignore the advisories, add ("PKSA-64jn-3d9t-gncx", "PKSA-8b16-mcgz-h4cz", "PKSA-s99r-9yxm-hjvt", "PKSA-4ckb-wpj6-c29d", "PKSA-nm34-xhtz-ww9p", "PKSA-7jd6-nb49-bz4v", "PKSA-jw5c-q9nd-tzj9", "PKSA-285y-y5bt-kvd9", "PKSA-ybqb-vyrq-8pdt", "PKSA-bcnb-9tc9-bjb8", "PKSA-dbrb-pvhs-h3st", "PKSA-gst3-cdk3-bpqt", "PKSA-xk3k-rd1m-pxmg", "PKSA-7f9v-sb8k-krfb", "PKSA-p1pj-q951-6f1x", "PKSA-mkg2-1wyw-57y7", "PKSA-dvbq-8ft2-ngrw", "PKSA-m4hk-rk8p-4t5p", "PKSA-xp7t-fbrb-qjv4", "PKSA-xgcn-ywd7-3wqn") to the audit "ignore" config. To turn the feature off entirely, you can set "block-insecure" to false in your "audit" config
访问composer依赖包官网发现也标注了安全漏洞标记
如果各位在生产过程中认为这个安全漏洞可以忽略,下面介绍一下怎么强行命令composer这个版本
1.设置composer.json的composer配置文件来设置忽略安全检查
2.composer在引入依赖时候忽略对于其他依赖包版本检查
composer update phpoffice/phpspreadsheet:1.8.2 --ignore-platform-reqs # --ignore-platform-reqs 这个参数表示composer更新phpspreadsheet依赖包时忽略其他依赖包版本检查
执行了之后,发现以下输出表示成功解决问题
