Do not run Composer as root/super user! ,不要使用root用户,运行Composer 。这是一个安全问题,Composer 支持插件和脚本功能。如果你使用了root用户执行Composer命令,如果你使用了不安全的插件和脚本,将是十分危险的。这些脚本和插件也有root用户的权限,会给你系统造成危害。
某些Composer命令(包括exec,install和)update允许三方代码在您的系统上执行。这来自其“插件”和“脚本”功能。插件和脚本对运行Composer的用户帐户具有完全访问权限。因此,强烈建议 避免以超级用户/ root身份运行Composer。
您可以使用以下语法在软件包安装或更新期间禁用插件和脚本,以便仅执行Composer的代码,而不会执行三方代码:
# Author: www.phpjiaocheng.com
composer install --no-plugins --no-scripts ...
composer update --no-plugins --no-scripts ...
该exec命令将始终以运行用户的身份运行三方代码composer。
在某些情况下,例如在CI系统中或您想要安装不受信任的依赖项的环境中,安全的方法是运行以上命令。
php composer 官方说明: https://getcomposer.org/doc/faqs/how-to-install-untrusted-packages-safely.md