Как я могу безопасно установить ненадежные пакеты? Безопасно ли запускать Composer как суперпользователя или root?

Некоторые команды Composer, включая exec, install и update, позволяют выполнять в вашей системе сторонний код. Это из его «плагинов» и «скриптов». Плагины и скрипты имеют полный доступ к учетной записи пользователя, которая запускает Composer. По этой причине настоятельно рекомендуется избегать запуска Composer как super-user/root.

Вы можете отключить плагины и скрипты во время установки или обновления пакетов со следующим синтаксисом, так что будет выполняться только код Composer и никакой код стороннего разработчика:

composer install --no-plugins --no-scripts ...
composer update --no-plugins --no-scripts ...

Команда exec всегда будет запускать сторонний код в качестве пользователя, который запускает composer.

В некоторых случаях, например, в системах CI или там, где вы хотите установить ненадежные зависимости, самый безопасный способ сделать это - запустить указанную выше команду.