4.3. 使用 root 用户来安装扩展包是否安全？如何安全地安装未认证渠道的扩展包？

2018

2018

Composer 中文文档 /

使用 root 用户来安装扩展包是否安全？如何安全地安装未认证渠道的扩展包？

相应的 Composer 命令，包括exec、install和update，它们都允许在你的机器上运行第三方代码。这来自 Composer 的「插件」和「脚本」功能。插件和脚本可以完全访问运行 Composer 的用户账号。因此，强烈建议避免使用 root 账号运行 Composer。

在安装或更新包期间，为了只让 Composer 代码、而非第三方代码运行，你可以使用以下语法禁用插件和脚本：

composer install --no-plugins --no-scripts ...
composer update --no-plugins --no-scripts ...

exec命令总以运行composer的用户执行第三方代码。

在一些场景中，比如 CI 系统或者你想安装未经认证的依赖的地方，最安全的做法是运行以上命令。

本文章首发在 LearnKu.com 网站上。

本译文仅用于学习和交流目的，转载请务必注明文章译者、出处、和本文链接
我们的翻译工作遵照 CC 协议，如果我们的工作有侵犯到您的权益，请及时联系我们。

原文地址：https://learnku.com/docs/composer/2018/h...

译文地址：https://learnku.com/docs/composer/2018/h...

Markdown 文本

贡献者：2

讨论数量: 0

暂无话题~