Von Zeit zu Zeit werden Schwachstellen in Paketen bekannt, die man in Projekten nutzt. Mit composer kann man mittlerweile Pakete überprüfen ob eines der genutzten Pakete eine solche bekannte Schwachstelle beinhaltet. Dies kann man mit dem Kommando composer audit erreichen. Ein entsprechender Github Actions Workflow könnte dann so aussehen:

name: Basic check

on:
  push:
  workflow_dispatch:
  pull_request:

jobs:
  check:
    runs-on: ubuntu-latest
    steps:
      - name: Checkout code
        uses: actions/checkout@v3
      
      - name: Setup PHP version
        uses: shivammathur/setup-php@v2
        with:
          php-version: '8.1'
          extensions: mysql, xml, bcmath, gd, imagick, mbstring, curl, zip, intl, ldap
      
      - name: Run compose
        run: |
          cd src
          composer install

      - name: Check for known vulnerabilities
        run: |
          cd src
          composer audit
Code-Sprache: YAML (yaml)