Symfony 4 项目：我应该多久更新一次开源网站的依赖项？

Posted 2023-04-15

【中文标题】Symfony 4 项目：我应该多久更新一次开源网站的依赖项？

【英文标题】：Symfony 4 project: how often should I update dependencies of open source website?

【发布时间】：2019-04-17 09:01:36

【问题描述】：

我应该多久在基于 Symfony 4 的开源代码网站中使用 composer 更新依赖项？

我的背景

我正在创建我的 php 编写的公共网站的新版本。新版本将基于 Symfony 4 框架，其代码将在 GitHub 上提供。该代码不会被设计为可在我的网络应用程序、我的域之外重用——开源的目的是允许一些用户使用拉取请求为我的网站做出贡献（我在我的许可证中指定了这个限制）。因为存储库将是公开可见的，所以所有人都可以在 composer.lock 文件中看到（有时可能是过时的）依赖项版本。

【参考方案1】：

在我看来，不要在你的项目中间更新作曲家。一旦我开始工作 zend3 ，我就更新了 composer 并且仅仅因为 composer 的版本而出现了关于更新迁移的问题。因此，只需在开始项目之前更新作曲家并保持原样。

【讨论】：

我第一篇文章中提到的项目是我的第一个基于 Symfony4/Composer 的项目，但在我看来，在项目开始之前只更新一次框架/项目依赖项，是不是……安全漏洞？ ;)