代码托管网站GitHub今天宣布计划增加对基于Composer的PHP项目的依赖图的支持。

由于依赖关系图功能与安全警报(漏洞警报)功能交织在一起，这也意味着GitHub用户还有资格接收针对其PHP项目依赖关系中出现的任何漏洞的自动安全警报。

安全警报的工作原理

该安全警报功能是GitHub的最有用的服务之一。它通过(GitHub)扫描用户项目的依赖树(由依赖关系图功能生成)。

扫描程序查看依赖项的名称和版本号，并将其与GitHub从各种源汇集的已知漏洞列表进行比较。

如果GitHub在任何依赖项中发现漏洞，则“安全警报”功能会通过各种方法警告项目所有者，例如：

GitHub界面中的横幅

GitHub域上的Web通知

每个新漏洞的电子邮件通知

所有新漏洞的每日或每周电子邮件摘要

GitHub 在2017年11月为JavaScript和Ruby项目推出了安全警报功能，并在2018年7月将其扩展为Python项目。在2018年10月，它将该功能进一步扩展到Java和.NET项目。

PHP支持已经很长时间了，因为PHP多年来一直是GitHub托管项目的流行编程语言，近年来排名第三和第四。

但是依赖关系图和安全警报功能不适用于所有PHP项目。它仅适用于编码为与Composer项目一起使用的PHP项目。Composer是一个包管理器，用于自动将PHP库导入PHP项目。