LaravelPackagist和PHP生态系统

本教程由 ](https://bugsnag.com/？utm_source=laravelnews&；utm_media=>(https://styleci.io/)创始人。这是关于使用Composer的最佳实践的两部分系列中的第二篇博客。阅读第一篇关于[使用Composer构建可维护的PHP应用程序]的博客(https://blog.bugsnag.com/best-practices-using-composer/？utmu source=laravelnews&；utmu medium=cpc&；utmu content=packagist php&；utmu campaign=>在上一篇博文中，我们看到了Composer的基础知识，但跳过了它在哪里实际找到包，以及如何发布自己的包。在这篇博文中，我们将详细介绍这一点，以及在应用程序中使用composer时的一些安全注意事项。什么是Packagist？ Packagist是Composer的主要包存储库。在这里您可以发布您的包，也可以查看其他人的包。默认情况下，Composer将使用Packagist查找包，但是，更高级的用户可以根据自己的意愿进行自定义。您可能希望自定义它的一个原因是使用私有包。有关更多详细信息，请参阅存储库上的composer文档。通过Packagist分发您的软件包好的，因此您一直在开发新的软件包，您希望发布它，这样不仅您可以使用它，而且其他人也可以查看您的作品！要发布您的软件包，请访问https://packagist.org/packages/submit，并提供代码的URL，无论是在GitHub、Bitbucket、Gitlab上还是在其他地方。幸运的是，发布包版本非常简单。你所需要做的就是用git做一个标签，你就可以开始了。您不应该在编写器.json文件。要搜索类似的包，并查看您自己的列表吗？您可以在Packagist网站上浏览所有公开可用的软件包。软件包许可许可证字段是可选的，但最好设置此字段，以便人们知道是否以及如何使用您的软件包。在此处键入可读的许可证名称而不是实际的\"许可证标识符\"是一个常见错误。您可以在这里找到可能的许可证列表。如果您的代码使用专有许可证，也允许使用\"专有\"作为许可证标识符。一些常见的许可证有Apache-2.0、BSD-2-Clause、BSD-3-Clause、GPL-2.0、GPL-3.0和MIT。 Composer实际上可以告诉您所有依赖项的许可证。只需运行licenses命令： 1composer licenses 这将输出如下内容：开发版本因此，您正在为您的软件包开发一个伟大的新功能，并希望对其进行测试。但有一个问题：您希望能够在不标记发布的情况下加载更改，因为您还没有准备好发布。有几种方法可以使用： 1. 将分支别名添加到包中编写器.json， 2. 直接引用应用程序中的分支名称编写器.json.分支别名这些自动表示您可以将分支与dev包版本相关联！假设您正在主分支上开发2.0.0版本，并且希望能够在标记该版本之前安装它。一个很好的方法是将主分支别名为版本\"2.0.x-dev\"。在应用程序中，您可以通过使用版本约束\"2.0.*@dev\"或类似的内容来访问2.0开发版本。事实上，composer非常聪明，可以查看分支名称，并确定它与哪个版本相关联。例如，如果您将一个分支命名为\"2.0\"，那么composer会将其视为代表最新的\"2.0.x-dev\"版本。最后，我会注意到，通过在应用程序中设置以下内容，您实际上可以避免在依赖项上指定稳定性编写器.json文件：这将告诉作曲家您对此感到高兴如果需要，可以将\"^2.0\"或\"2.0.*\"解析为开发版本，但如果可以，您希望它解析为稳定版本。直接引用分支名称如上所述，访问新代码的另一种方法是直接将分支名称用作版本。这在处理特定的新特性时非常有用，而不是希望测试某些合并的更改。要安装一个名为\"new feature\"的分支，您将需要版本约束\"dev new feature\"。安全注意事项回想一下我上一篇博客文章中，Composer留下的编写器.lock\"在你的回购文件。对于应用程序，提交此文件非常有用，因为它将依赖项锁定在已知状态，从而使您可以细粒度地控制applic到底部署了哪些包特别是，它将允许您防止依赖关系意外中断更改或引入错误。当然，这些可能会对应用程序的安全性产生影响。实际上，我们可以进一步检查已解决的依赖项集是否存在已知的安全问题。SensioLabs提供检查您的编写器.lock已知安全漏洞的文件：用于检查的数据库可在GitHub上公开获取，网址： https://github.com/FriendsOfPHP/security-advisories。最后，还可以注册私有包存储库和代理包装师.org通过它，有付费服务/解决方案可供您使用。保持最新版本我们已经看到了为保持最新安全性而提供的功能和工具。但是，如果作者不再支持您的软件包版本，它们将不会向您显示，并且也不会显示是否有版本限制限制您安装的较新版本。幸运的是，Composer提供了一个简单的命令，您可以运行该命令来显示已安装的软件包版本，最新版本是什么。如果我在几个星期前安装依赖项的示例repo上运行***1***，我们已经可以看到有可用的更新：主要更新显示为红色，次要更新显示为黄色。通常情况下，直接升级到次要版本是安全的；但是，您应该始终小心了解每个依赖项的版本控制策略，并且您可能还想自己去查看更改。您可以运行***2***更新到版本约束允许的最新依赖项，您还可以修改版本限制以访问较新的版本。最后，我应该注意，您可以使用\"composer self update\"更新composer本身。结论我们已经看到composer提供了更强大的功能，以及如何在Packagist上发布包。您现在可以放心地发布应用程序，知道您的依赖项是最新的，并且没有已知的安全漏洞。了解有关使用Bugsnag监视和报告PHP应用程序错误的更多信息。

LaravelPackagist和PHP生态系统

CSS无头WordPress到底有多合适？

CSS制作带有粘性页眉和页脚的表格变得更容易了

CSS技巧编年史XXXX

CSS使用子资源完整性保护您的网站

CSS联合的可能性

CSS在开放细节元素上添加背景

CSS容器查询的聚宝盆

CSS target=blank

CSS查看WCAG 2.5.5以获得更好的目标尺寸

CSS Trickz：Netlify随需应变构建器的实验