Discussion :

[markham]

Bonjour,

Je cherche des solutions pour gérer efficacement tout les lib que j'utilise dans tous mes projets php, à force d'en implementer,
pas mal sont l'objet de faille recensé (cve-xxxx) et il est diffcilie de les changer car chaque monté de version peuvent engranger des changements important dans le code.

qu'utilisez vous ?

peut envisager un update automatique ?

en vous remerciant,

[grunk]

Il n'ya pas de solution miracle , il faut tester.
Mettre à jour une lib , tester le bon fonctionnement (idéalement avec des tests de non régression , puis des test manuels).
Si tout est ok , passer à la suivante.

Il faut dans l'idéal limiter au maximum les librairies tierces pour ce genre de problématique. Si intégrer une lib me fait gagner 1 semaine de boulot , ok. Si c'est 2h il faut peut être considérer un développement plutôt qu'une intégration.

[markham]

Merci pour la réponse,

Mais Je pensais plus à un composer like ou autre gestion de lib façon package capable de gérer les failles

faute de mieux autant faire confiance au version proposé par ubuntu qui ajoute les correctif sans changer les version, mais cela limite la portabilite des projet php

[Tsilefy]

- Si possible, prends uniquement des libs qui respectent Semver comme ça tu sais qu'ils ne cassent pas tout en passant de la v1.2.1 à v1.2.2 (et éviter dev-master sur Composer).
- Ne pas mettre à jour tout de suite, attendre quelques jour et voir la page des "Issues" sur le github de la lib.

Tout ça ne dispense pas de tester, mais ça offre au moins une garantie.