Задать вопрос

На сколько правильно использовать для composer-а git форки (fork) в своём проекте?

Есть проект, который будет долго разрабатываться и поддерживаться несколько лет. В этом проекте используются и регулярно обновляются несколько готовых модулей, установленных через composer.
Возник вопрос, а что если разработчики или кто-то с правами или одного из тех самых модулей просто захотят и зальют вредоносный код (напр. rm -rf /) и после очередного обновления всё будет очень плохо. Что в этом случае делать? Очевидное решение - это форкнуть все эти сторонние модули и по мере их обновления самому клонировать их себе, предварительно проверяя. Но на сколько это правильно и есть ли другие решения такой проблемы?
P.S. В нэте не нашёл подобных тем может из-за отсутствии компетенции в этом и просто не знаю что искать.
  • Вопрос задан
  • 415 просмотров
Подписаться 2 Оценить Комментировать
Решения вопроса 2
nonlux
@nonlux
Алексей Уколов +1
Проведем аналогию с идеализированным алгоритмом работы ФСТЭК для лицензии ПО с гос. тайной
1. Берется определенная версия ПО
2. Проводится полный аудит кода
3. Данная версия ПО получает лицензию

Но подумайте о том, что бы работать на ПЭВМ в гос тайной надо проверить весь стек ПО

Поэтому просто забейте на эту параною.
Подумайте:
1. веб-сервер, php, git делают одни люди
2. Вторые люди собирают это под ту ос, что вы используете
3. Администраторы железа на вашем хостинге - это третьи люди
4. Администраторы магистральной сети - это четвертые

Враги кругом.
Вы можете делать аудит всего стороннего кода, но у вас больше шансов написать огромную дыру в вашем приложении, где любой пользователь сделает rm -fr.

А для того чтобы окружить себя от нерадивых чужих разработчиков тестируйте свой код, тестируйте приложение в изолированном окружении ( в контейнере), а только потом выкидывайте все на production сервер
Ответ написан
Комментировать
alexey-m-ukolov
@alexey-m-ukolov Куратор тега PHP
Если у вас такая дикая паранойя - пишите свои велосипеды.
Форки вас не спасут. Форкать и потом все-равно сливать обновления из базового репозитория - бессмысленный труд, все-равно нужно код тщательно просматривать, анализировать все изменения. Ну так это и без форка можно сделать - перед установкой новой версии просто смотрите все коммиты.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
DmitriyEntelis
@DmitriyEntelis
Думаю за деньги
С учетом того что на гитхабе существует функционал выпиливания репозитория и воспользоваться им может как сам owner, так и администрация, - на мой взгляд единственное разумное решение: целиком скачивать код проекта в свой собственный репозиторий. Форкаться при этом или просто скопировать файлы - дело десятое.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы