Zu den grundlegenden Aufgaben automatisierter Builds zählen unterschiedliche Prüfungen: so bietet es sich an, die Einhaltung der Coding-Styles zu überwachen, Qualitätsmetriken zu erheben und die Testabdeckung zu messen. Auch die regelmäßige Aktualisierung verwendeter Drittkomponenten kann perfekt automatisiert werden, wie wir es in diesem Beitrag für GitHub Actions gezeigt haben.
Ein nützliches Werkzeug, das anhand einer composer.lock
Datei etwaige Sicherheitslücken in verwendeten Vendors aufgezeigt hatte, war der SensioLabs Security Checker. Dieser hat die entsprechenden Versionen mit einer Datenbank auf security.symfony.com abgeglichen und entsprechende Probleme gemeldet. Der entsprechende Datenbestand befindet sich ebenfalls auf GitHub.
Dieser Dienst wurde allerdings Ende Januar 2021 abgeschaltet, weswegen ein Ersatz notwendig wurde. Angeboten hat sich hier der von Fabien Potencier bereitgestellte Local PHP Security Checker. Dieses Tool greift auf dieselben Daten zu, liefert diese aber direkt mit.
Wir haben das Tool in alle Build-Jobs und auch in die GitHub Action für Zikula-Module eingebaut. Gegenwärtig läuft das noch relativ manuell: in diesem Ticket wird ein Ansatz gezeigt, mit dem die aktuellste Version heruntergeladen und verwendet werden kann.
Weitere, gegenwärtig noch offene Tickets beschäftigen sich mit einer zukünftigen Vereinfachung der Integration: so wird etwa über ein latest-Release nachgedacht und auch der Wunsch nach einer GitHub Action existiert bereits.