技术饭

如何安全安装不受信任的软件包?以超级用户或root身份运行Composer是否安全?

copylian    0 评论    470 浏览    2020.02.19

某些Composer命令,包括exec,install和,update允许第三方代码在您的系统上执行。这来自其“插件”和“脚本”功能。插件和脚本对运行Composer的用户帐户具有完全访问权限。因此,强烈建议 避免以超级用户/ root身份运行Composer

您可以使用以下语法在软件包安装或更新期间禁用插件和脚本,以便仅执行Composer的代码,而不会执行第三方代码:

composer install --no-plugins --no-scripts ...

composer update --no-plugins --no-scripts ...

该exec命令将始终以运行用户的身份运行第三方代码composer。

在某些情况下,例如在CI系统中或您想要安装不受信任的依赖项的情况下,最安全的方法是运行以上命令。

CopyLian
感谢你的支持,我会继续努力!
扫码打赏,感谢您的支持!
composer root Linux 

文明上网理性发言!

  • 还没有评论,沙发等你来抢