Метапакет roave/security-advisories:dev-latest добавлен в require-dev.
Это conflict-only пакет — он не содержит кода, а просто помечает
известные CVE-версии других пакетов как несовместимые. При попытке
установки/обновления таких версий composer падает с conflict-resolution
до того, как уязвимый код попадёт в vendor/.
Текущий снапшот зависимостей чист: «No security vulnerability advisories
found» при установке (95 пакетов).
Закрывает Прил. Н #13. Не требует конфигурации, бинарников, env.
Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
Установлены 3 dev-инструмента из Прил. Н фазы 1:
- laravel/pint v1.29 (форматтер PHP, Прил. Н #11) — Laravel preset
по умолчанию. Команды: composer pint, composer pint:test
- larastan/larastan v3.9.6 + phpstan/phpstan v2.1.54 (статанализ
PHP, Прил. Н #12) — level 5, paths app/bootstrap/config/database/
routes/tests. Команда: composer stan
- barryvdh/laravel-ide-helper v3.7.0 (IDE-stubs, Прил. Н #14) —
команда: composer ide-helper. Артефакт _ide_helper.php в gitignore
Конфиги:
- app/phpstan.neon — base config с includes на larastan extension
и baseline. Включены checkOctaneCompatibility и checkModelProperties
- app/phpstan-baseline.neon — зафиксированы 3 ошибки в default
Laravel scaffold (UserFactory return type covariance + 2× ExampleTest
always-true). Двигаемся вверх с этого baseline'а.
Composer scripts (composer.json):
- pint, pint:test (форматирование / dry-run проверка)
- stan (PHPStan analyse с memory-limit 512M)
- ide-helper (generate + meta)
Smoke-test'ы все 3 прошли: Pint passed, PHPStan passed (с baseline),
ide-helper:generate написал _ide_helper.php.
Фикс окружения: на этой машине composer require падал с "Permission
denied на vendor/composer/tmp-XXX.zip" из-за race condition
параллельных curl'ов. Решение: COMPOSER_MAX_PARALLEL_HTTP=1
(сохранено в memory feedback_environment).
Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
Произошло так: при `composer require pestphp/pest pestphp/pest-plugin-laravel
--dev --with-all-dependencies` я не зафиксировал `^3` — composer подтянул
свежайшую Pest v4.7.0 + pest-plugin-laravel v4.1.0. Smoke-test
(`./vendor/bin/pest`) на default-тестах Laravel 11 прошёл 2/2 за 281 ms —
backward-compat с Pest 3 syntax подтверждён. Заказчик 08.05 (поздний вечер)
принял Pest 4 после live-проверки на стеке.
Бонус Pest 4: browser testing (без Dusk), stress testing, mutation
testing v2. Откат дёшев — `composer require pestphp/pest:^3`.
Что сделано:
- composer remove phpunit/phpunit (был direct dev-dep) — phpunit остался
как транзитивная зависимость Pest
- composer require pestphp/pest:^4.7 pestphp/pest-plugin-laravel:^4.1 --dev
- Pest.php создан через `vendor/bin/pest --init` (`tests/Pest.php`)
- `vendor/bin/pest` smoke-test: 2 passed (Unit/Feature ExampleTest), 281 ms
- `vendor/bin/pest --init` упал на интерактивном промпте «Wanna show Pest
some love?» в non-interactive PowerShell — Pest.php к этому моменту уже
создан, нефатально
Reopen(CTO-12): по правилу «явная фиксация переоткрытий» обновлены
3 источника:
- docs/Открытые_вопросы_v8_3.md v1.15→v1.16: блок «Что изменилось в v1.16»,
таблица §0 (CTO-12 переоткрыт+закрыт), запись §3 (Pest 4 + обоснование),
финальный список §X (Pest 4)
- docs/Tooling_v8_3.md v1.2→v1.3: блок «Что нового в v1.3», §3.1 п.4
(Pest 4 в boost:install), §3.4 строка 18 (Pest 4 + бонусы), §6 п.2
(конфликт Pest↔PHPUnit), §10.1 п.9 (процедура установки + warning про
--init на Windows non-interactive)
- CLAUDE.md v1.4→v1.5: §0 источники (Tooling v1.3, Реестр v1.16),
§3.2 строка 18 (Pest 4), §7 п.5 (Pest 4 в boost:install), футер с
историей версий
Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>