如何安全安装不受信任的软件包？以超级用户或root身份运行Composer是否安全？

copylian 0 评论 14830 浏览 2020.02.19

某些Composer命令，包括exec，install和，update允许第三方代码在您的系统上执行。这来自其“插件”和“脚本”功能。插件和脚本对运行Composer的用户帐户具有完全访问权限。因此，强烈建议 避免以超级用户/ root身份运行Composer。

您可以使用以下语法在软件包安装或更新期间禁用插件和脚本，以便仅执行Composer的代码，而不会执行第三方代码：

composer install --no-plugins --no-scripts ...

composer update --no-plugins --no-scripts ...

该exec命令将始终以运行用户的身份运行第三方代码composer。

在某些情况下，例如在CI系统中或您想要安装不受信任的依赖项的情况下，最安全的方法是运行以上命令。

感谢你的支持，我会继续努力！

扫码打赏，感谢您的支持！

composer root Linux

文明上网理性发言！

CopyLian's Blog