Path: csiph.com!fu-berlin.de!uni-berlin.de!individual.net!not-for-mail
From: Arno Welzel <usenet@arnowelzel.de>
Newsgroups: de.comp.lang.php
Subject: Re: composer global einstellen
Date: Mon, 17 Jan 2022 11:21:43 +0100
Lines: 21
Message-ID: <j4ku9lFa4v8U2@mid.individual.net>
References: <srsglu$l3o$1@tota-refugium.de> <m1mtjyhu6a.fsf@mbp.pflaesterer.de> <srsu4b$t8c$1@tota-refugium.de> <j4fjjoF9ndhU1@mid.individual.net> <sru79u$laj$1@tota-refugium.de> <j4fp0gFanhrU1@mid.individual.net> <srucg8$p3v$1@tota-refugium.de> <j4j0iqFtjshU1@mid.individual.net> <ss1tom$3p2$1@tota-refugium.de>
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
X-Trace: individual.net phxOsPeiGlUHB2HqpjqBmw5D3b70SjnZD73uN/kCsjYf0+mfbq
Cancel-Lock: sha1:Jei/2z/llm0Df5ZkUsJeZcy9IZM=
Content-Language: de-DE
In-Reply-To: <ss1tom$3p2$1@tota-refugium.de>
Xref: csiph.com de.comp.lang.php:4776

Tim Ritberg:

> Am 16.01.22 um 17:48 schrieb Arno Welzel:
>> ...
>> Composer darf natürlich nicht als root laufen, weil sonst bösartige
>> Pakete einfach den Paketfilter ändern.
>>
>> Aber wie ich schon gesagt habe, ist composer auf einem Server ohnehin
>> wenig sinnvoll. Normalerweise würde man composer woanders auführen und
>> nur das Ergebnis auf den Server übertragen.
> Und genau dieses Ergebnis kann doch verseucht sein.

Eben - deswegen sollte man es nicht auf produktiven Umgebungen machen.

Gegen mögliche bösartige Pakete oder Pakete mit Sicherheitslücken auf
den offiziellen Repositories wie packagist.org kannst Du effektiv nichts
tun, außer eben alle Pakete selber zu kontrollieren.

-- 
Arno Welzel
https://arnowelzel.de