Composer и root

Composer и root

Как безопасно установить ненадежные пакеты? Безопасно ли запускать Composer как суперпользователь или root?

Некоторые команды Composer, в том числе exec, install и update, позволяют выполнять сторонний код в вашей системе. Это из-за возможностей «плагинов» и «скриптов». Плагины и скрипты имеют полный доступ к учетной записи пользователя, которая запускает Composer. По этой причине настоятельно рекомендуется избегать использования Composer в качестве суперпользователя root.

Вы можете отключить плагины и скрипты во время установки пакета или обновления со следующим синтаксисом, поэтому будет выполняться только код Composer и никакой сторонний код:


     composer install --no-plugins --no-scripts
     composer update --no-plugins --no-scripts


В некоторых случаях, например, в системах CI или таких, где вы хотите установить ненадежные зависимости, самый безопасный способ сделать это запустить приведенную выше команду.

Ссылка:    https://getcomposer.org/doc/faqs/how-to-install-untrusted-packages-safely.md