[root@mail public_html]# composer dump-autoload

某些Composer命令，包括exec，install并update允许第三方代码在您的系统上执行。这是从它的“插件”和“脚本”功能。插件和脚本可以完全访问运行Composer的用户帐户。因此，强烈建议 避免将Composer作为超级用户/ root运行。

您可以使用以下语法在程序包安装或更新过程中禁用插件和脚本，因此只有Composer的代码和无第三方代码才能执行：

composer install --no-plugins --no-scripts ...
composer update --no-plugins --no-scripts ...

该exec命令将始终运行第三方代码作为运行的用户composer。

在某些情况下，像在CI系统或其中要安装不受信任的依赖项一样，最安全的方法是运行上述命令。

来自 https://getcomposer.org/doc/faqs/how-to-install-untrusted-packages-safely.md