当我运行作曲家更新时,我偶尔会收到软件包已被放弃的消息,我应该使用不同的软件包,例如Package webflo/drupal-core-require-dev is abandoned, you should avoid using it. Use drupal/core-dev instead.我没有使用 Composer 的经验,所以我很好奇什么是替换过时软件包的最佳实践。
这些消息从哪里来?我不确定来源是否总是可靠的。
我认为最佳实践从“你应该避免使用它”的消息中已经很清楚了。如何/何时执行此操作尚不清楚。废弃的软件包将不会收到更新,但 Composer 将无法告诉您过渡到推荐的替代方案有多困难。可能您所要做的就是替换软件包,因为这只是名称更改或还必须修改您的代码。
在你的情况下webflo/drupal-core-require-dev仅包含一个composer.json并且所需的包与替代包相匹配Drupal/核心开发提供。这意味着替换包应该像更改composer.json中的名称一样简单,然后执行composer update drupal/core-dev.
对于答案不那么简单的软件包,您必须依靠自动/手动测试来查看一切是否仍然有效。静态代码分析工具也可能有所帮助。您必须在进行更改之前对它们进行设置,以便您可以看到它们的输出有何不同并修复出现的新问题。
您应该尽早切换到新的依赖项。保留它可能会在将来替换它时导致更多工作,并且可能会带来安全风险(如果它过时且不安全)。我知道这并不总是可能的,并且使用类似的东西roave/security-advisories当包中存在已知的安全问题时告诉您可能有助于推迟它并给人一些安全感。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
