GitHub recientemente anunció el soporte para gráficos de dependencias de Composer. Los graficos de dependencias proporcionan diferentes experiencias importantes en GitHub, tales como alertas de seguridad, parches automáticos, información de dependencias entre otros.
Popularidad de PHP
Una de las razones por las que GitHub ha decidido comenzar a dar soporte a gráficos de dependencias de Composer es debido a que PHP es el cuarto lenguaje más popular en GitHub y Composer es además el cuarto proyecto más popular de PHP en GitHub.
Por esta razón, a partir de ahora, todos los proyectos en PHP alojados en GitHub que usen Composer contarán con soporte para gráficos de dependencias.
Además de Composer, GitHub también cuenta con soporte para gráficos de dependencias al usar Maven, NPM, Yarn y Nuget.
Cómo funciona
A partir de ahora podrás ver alertas de seguridad en tus repositorios que usen Composer. Cuando haya una vulnerabilidad en alguna de las dependencias de Composer que se encuentren en composer.json
o composer.lock
y sean usadas por tu proyecto, una alerta será enviada a tu correo electrónico así como también recibirás una notificación en el sitio web de GitHub.
Repositorios públicos y privados
- Si tu repositorio es público comenzarás a recibir estas alertas de forma automática.
- Si tu repositorio es privado necesitarás habilitar los gráficos de dependencias en tu proyecto. Para hacer esto, sigue las instrucciones mostradas a continuación:
- En GitHub, dirígete a la página principal de tu proyecto.
- Haz click en la pestaña Settings.
- En la sección «Data services» selecciona la opción Allow GitHub to perform read-only analysis of this repository.
Si en algún momento quieres deshabilitar los gráficos de dependencias en tu proyecto simplemente dirígete de nuevo a la pestaña Settings y elimina la selección realizada en «Data services».
Múltiples repositorios privados
Si tienes una organización con múltiples repositorios privados puedes habilitar el soporte para gráficos de dependencias haciendo uso de un script. Para hacer esto, sigue los pasos a continuación:
- Dirígete al repositorio de GitHub enable-security-alerts-sample y clónalo (asegúrate de tener Node instalado en tu computador).
- Genera un nuevo token de acceso con permisos
repo
yrepo:org
. - Renombra el archivo
.env.example
a.env
y modifica el valor de la propiedadGH_AUTH_TOKEN
con el valor del token que generaste. - Finalmente, en la terminal llama al comando
node enable-security-alerts-for-org.js organization
reemplazandoorganization
por el nombre de tu organización. Este comando habilitará el soporte para gráficos de dependencias en todos los repositorios de tu organización.
Deshabilitar alertas en proyectos antiguos
Si no quieres recibir alertas de repositorios antiguos, puedes archivarlos. Para ello ve a la pestaña Settings del repositorio y en la sección «Danger Zone» haz click en Archive this repository.
Parches de seguridad automáticos
Si habilitaste los parches de seguridad automáticos, recibirás Pull Requests para las dependencias vulnerables de tu proyecto al momento de recibir alertas de seguridad. Ten en cuenta que esta característica aún está en fase BETA.
Regístrate hoy en Styde y obtén acceso a todo nuestro contenido.