如何安全地安装不受信任的软件包？以超级用户或 root 用户身份运行 Composer 是否安全？#

某些 Composer 命令，包括exec、install和update允许第三方代码在您的系统上执行。这是来自它的“插件”和“脚本”功能。插件和脚本可以完全访问运行 Composer 的用户帐户。因此，强烈建议 避免以超级用户/root 身份运行 Composer。

您可以使用以下语法在软件包安装或更新期间禁用插件和脚本，以便仅执行 Composer 的代码，而不执行第三方代码：

php composer.phar install --no-plugins --no-scripts ...
php composer.phar update --no-plugins --no-scripts ...

该exec命令将始终以运行composer.

在某些情况下，比如在 CI 系统中或者你想要安装不受信任的依赖项的地方，最安全的方法是运行上面的命令。

有关 如何禁用警告的更多信息，请参阅环境变量 - COMPOSER_ALLOW_SUPERUSER

来自   https://getcomposer.org/doc/faqs/how-to-install-untrusted-packages-safely.md