DDEV Projekt lässt sich aufgrund von Sicherheitshinweisen nicht installieren

Philipp02

Hallo zusammen,

gerade wollte ein neues TYPO3 Projekt lokal unter DDEV anlegen. Wieder über den Composer Helper mit allen TYPO3 Paketen (TYPO3/Full).
Leider erhalte ich folgende Fehlermeldung;

"Your requirements could not be resolved to an installable set of packages.

Problem 1
- Root composer.json requires typo3/cms-core ¹³.4 -> satisfiable by typo3/cms-core[v13.4.23, v13.4.24, v13.4.25].
- typo3/cms-core[v13.4.23, ..., v13.4.25] require firebase/php-jwt ⁶.10.2 -> found firebase/php-jwt[v6.10.2, v6.11.0, v6.11.1] but these were not loaded, because they are affected by security advisories ("PKSA-y2cr-5h3j-g3ys"). Go to https://packagist.org/security-advisories/ to find advisory details. To ignore the advisories, add them to the audit "ignore" config. To turn the feature off entirely, you can set "block-insecure" to false in your "audit" config.

Installation failed, deleting ./composer.json."

Ich habe also die angebebene Webseite besucht und den Fehler nachgechlagen.
Der dortige Vorschlag php-jwt zu laden mit dem Befehl ddev composer require firebase/php-jwt

Danach habe ich einen weiteren Versuch gestartet und bekam folgende Meldung:

" Your requirements could not be resolved to an installable set of packages.
Problem 1
- Root composer.json requires typo3/cms-core ¹³.4 -> satisfiable by typo3/cms-core[v13.4.23, v13.4.24, v13.4.25].
- typo3/cms-core[v13.4.23, ..., v13.4.25] require firebase/php-jwt ⁶.10.2 -> found firebase/php-jwt[v6.10.2, v6.11.0, v6.11.1] but it conflicts with your root composer.json require (⁷.0).

Use the option --with-all-dependencies (-W) to allow upgrades, downgrades and removals for packages currently locked to specific versions.

Installation failed, reverting ./composer.json and ./composer.lock to their original content."

Nun bin ich leider ratlos. Ich kann zwar mit dem Befehl ddev composer update --with-all-dependencies die composer Dateien updaten, aber auch danach erhalte ich die gleiche Fehlermeldung.

Das Problem scheint recht neu zu sein, denn eine kurze Suche mit dem angegebenen Sicherheitshinweise "PKSA-y2cr-5h3j-g3ys" ergab Treffer die lediiglich etwsas über 1 Tag alt sind.

Weiß jemand Rat? Die angegebene ignore config um den Hinwweis dort einzufügen habe ich leider bislang nicht finden können.

Sven Wappler

Philipp02 Das temporäre Problem kann umgangen werden, wenn man in die composer.json folgendes einträgt. Im Abschnitt "config" muss den "audit" Abschnitt hinzugefügt werden:
"config": { "audit": { "ignore": ["PKSA-y2cr-5h3j-g3ys"] }, }

Wolfgang Wagner

Wenn du mit einem leeren Verzeichnis ohne composer.json startest, musst du die Datei zuerst manuell anlegen, bevor du composer require ausführst.
Erstelle eine composer.json mit folgendem Inhalt:

{
    "name": "vendor/projektname",
    "config": {
        "audit": {
            "ignore": ["PKSA-y2cr-5h3j-g3ys"]
        }
    },
    "require": {}
}

Danach kannst du wie gewohnt ddev composer require typo3/cms-core:"^13.4" ...ausführen.

Alternativ per Befehl (wichtig: --json Flag nicht vergessen!):

ddev composer init --no-interaction
ddev composer config --json audit.ignore '["PKSA-y2cr-5h3j-g3ys"]'

Das grundlegende Problem wurde für das nächste Release, soweit ich weiß, schon behoben.

Wolfgang Wagner

Problem in den heutigen Releases behoben.

Philipp02

Danke euch beiden ☺️
Ich habe, wie von Wolfgang vorgeschlagen, zunächst eine composer.json manuell angelegt (beginnend mit der geschweiften Klammer - das json hat sich irrtümlich in Wolfgangs Antwort eingeschlichen) und dann mit ddev composer require... TYPO3 installiert.

Unterstütze das Forum

Hilf mit, den Community Hub für TYPO3 werbefrei zu halten und die Betriebskosten zu decken. Werde Official Community Hub Supporter für nur 5 Euro im Monat (zzgl. USt) und erhalte ein exklusives Supporter-Badge. Jeder Beitrag zählt!

Jetzt Supporter werden

Impressum - Datenschutz - Kontakt - Netiquette - RSS