欢迎各位兄弟 发布技术文章

这里的技术是共享的

You are here

Do not run Composer as root/super user! See https://getcomposer.org/root for details 有大用 有大大用

如何安全地安装不受信任的软件包?以超级用户或 root 用户身份运行 Composer 是否安全?#

某些 Composer 命令,包括execinstallupdate允许第三方代码在您的系统上执行。这是来自它的“插件”和“脚本”功能。插件和脚本可以完全访问运行 Composer 的用户帐户。因此,强烈建议 避免以超级用户/root 身份运行 Composer

您可以使用以下语法在软件包安装或更新期间禁用插件和脚本,以便仅执行 Composer 的代码,而不执行第三方代码:

php composer.phar install --no-plugins --no-scripts ...
php composer.phar update --no-plugins --no-scripts ...

exec命令将始终以运行composer.

在某些情况下,比如在 CI 系统中或者你想要安装不受信任的依赖项的地方,最安全的方法是运行上面的命令。

有关 如何禁用警告的更多信息,请参阅环境变量 - COMPOSER_ALLOW_SUPERUSER


来自   https://getcomposer.org/doc/faqs/how-to-install-untrusted-packages-safely.md


普通分类: