Gestión de dependencias con Fossa (I) Laravel

Hoy en día es muy común el uso de frameworks y librerías externas que se agregan al proyecto para agilizar el desarrollo. Esto es totalmente acertado, al fin y al cabo no tiene sentido «reinventar la rueda».

Aunque puede haber escenarios en las que deberemos desechar una librería que puede aportar una funcionalidad requerida en el desarrollo, debido a que tenga ella misma algún error de seguridad o alguna de sus dependencias, lo que podría implicar que nuestra aplicación fuera vulnerable por extensión.

Además, para los proyectos de Software Libre, en este caso con licencia GPLv3, se hace de vital importancia disponer de unas dependencias compatibles para cumplir los requisitos de la misma (más información en el siguiente enlace en el apartado «Aprobaciones») .

Para obtener una ayuda automatizada que nos resuelva entre otros estos problemas indicados anteriormente se ha utilizado el servicio gratuito proporcionado por Fossa, que está integrado con Github.

En el proyecto del repositorio nos muestra la siguiente imagen al realizar el escaneo:

Resultado análisis para repositorio

Lo primero que llama la atención es el «issue» que aparece, al pulsar nos muestra que la librería «monolog» muy conocida crear los logs.

Issue encontrado en análisis de dependencias

En este caso parece que es un falso positivo debido a que como podéis ver en el siguiente enlace https://github.com/Seldaek/monolog/blob/master/LICENSE la licencia es MIT desde la versión 1.0.0.

Aunque este falso positivo nos ha hecho tener que investigar un poco, es una herramienta recomendada debido a que de una forma sencilla podemos controlar las licencias de las librerías que añadimos a nuestros proyectos.

Leave a Reply

Your email address will not be published.Required fields are marked *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.