Composer のセキュリティ上の問題が直ったので PHP な方は今すぐ更新を - co3k.org

Composer の以下の問題が 2 月半ばあたりから話題になっていました。 Limit Replace / Provides to packages required by name in root package or any dep · Issue #2690 · composer/composer https://github.com/composer/composer/issues/2690 一言で言うと、 条件によってはユーザの意図しないパッケージがインストールされてしまう という問題です。悪意のあるパッケージをインストールしたことに気づかれなければ、攻撃者の思い通りのコードを実行させることができてしまいます。 ざっくり説明すると、 Composer には fork したパッケージや、リネームしたパッケージ から 、元のパッケージを置き換えることのできる機能が存在する (本エン

[n314]

"生成された composer.lock はお使いのバージョン管理システム上にコミットしてください。" そうだったのか

[shinagaki]

composer がプロジェクトごとにあるから、大変だ＞＜

[tmatsuu]

「条件によってはユーザの意図しないパッケージがインストールされてしまう」ひぃ。今すぐself-update

[raimon49]

＞人の目の介在しないシステム上では composer update ではなく、信頼できる lock ファイルを生成した上で composer install を実行しているか

[dkinyu]

Composer のセキュリティ上の問題が直ったので PHP な方は今すぐ更新を - http://t.co/KhAvHNrVvd

[murasaki11]

composer.lockはインストール後にできるゴミファイルじゃなかった！

[potato777]

fork版のパッケージが代わりにインストールされることがあった問題のまとめ

[t-wada]

1. composer を self-update する 2. インストールしたパッケージが期待通りのものかを都度確認 3. 自動化時は composer update ではなく、信頼できる lock ファイルを生成した上で composer install

[sionsou]

にゃんと…FuelPHPでコンポーサー使いまくりだから全サイトアップデートかorz

[rryu]

依存パッケージがreplace先と衝突した場合にどちらがインストールされるかは状況次第だったのをエラーにするようにしたのか。

[honeybe]

へぇ

[oppara]

Composer のセキュリティ上の問題が直ったので PHP な方は今すぐ更新を - http://t.co/qPqzyov7ZN

[yuitang]

“composer self-update”

[shin1x1]

composer.phar の self-update しとこう。 / thirdparty/lib の例は、1.8.3 と 1.9 の両方が要求されたために、そのどちらも満たすことができる original/bundle がインストールされたということか。

[uzulla]

よい記事、セキュリティ以外の部分も非常に参考になった

[koyhoge]

なるほど。でもデプロイする度に composer install が走る環境も多いと思うのだけど。 / あ、.lock 見るから問題ないのか。

[m_shige1979]

ぞうさんかわいい

[ishinao]

"人の目の介在しないシステム上では composer update ではなく、信頼できる lock ファイルを生成した上で composer install を実行しているか" » Composer のセキュリティ上の問題が直ったので