如何安全安装不受信任的软件包？以超级用户或root身份运行Composer是否安全？

某些Composer命令，包括exec，install和，update允许第三方代码在您的系统上执行。这来自其“插件”和“脚本”功能。插件和脚本对运行Composer的用户帐户具有完全访问权限。因此，强烈建议 避免以超级用户/ root身份运行Composer。

您可以使用以下语法在软件包安装或更新期间禁用插件和脚本，以便仅执行Composer的代码，而不会执行第三方代码：

composer install --no-plugins --no-scripts ...

composer update --no-plugins --no-scripts ...

该exec命令将始终以运行用户的身份运行第三方代码composer。

在某些情况下，例如在CI系统中或您想要安装不受信任的依赖项的情况下，最安全的方法是运行以上命令。