如何安全地安装不受信任的包?以超级用户或 root 身份运行Composer是否安全?#

======================================

相应的 Composer 命令,包括execinstallupdate,它们都允许在你的机器上运行第三方代码。这来自 Composer 的「插件」和「脚本」功能。插件和脚本可以完全访问运行 Composer 的用户账号。因此,强烈建议避免使用 root 账号运行 Composer。

在安装或更新包期间,为了只让 Composer 代码、而非第三方代码运行,你可以使用以下语法禁用插件和脚本:

composer install --no-plugins --no-scripts ...
composer update --no-plugins --no-scripts ...

exec命令总以运行composer的用户执行第三方代码。

在一些场景中,比如 CI 系统或者你想安装未经认证的依赖的地方,最安全的做法是运行以上命令。

发现了一个错字?文档中有问题吗? 只需要 fork并编辑 它!