blog.packagist.com

Sécurité

Composer 2.9.6 fixes Perforce Driver Command Injection Vulnerabilities (CVE-2026-40261, CVE-2026-40176)

Mettez à jour Composer vers les versions 2.9.6 ou 2.2.27 (LTS) pour corriger deux vulnérabilités d'injection de commandes dans le pilote VCS Perforce. Ces failles peuvent être exploitées même sans avoir Perforce installé. Les recommandations de sécurité comprennent l'évitement de l'installation de dépendances à partir de sources non fiables et l'examen des fichiers avant d'exécuter des commandes Composer.

blog.packagist.com

phpvcscomposer
Autre

Private Packagist 2025 contributions for the Open Source Pledge

Private Packagist a contribué 30 497 $ à des projets open source en 2025, soutenant des outils et bibliothèques essentiels tels que PHP Foundation, Symfony et d'autres. L'article souligne l'importance pour les entreprises de soutenir financièrement l'écosystème open source, tout en annonçant des améliorations de sécurité et de fonctionnalité dans leurs produits. Ils mettent également en place un programme de parrainage pour Packagist.org et Composer.

blog.packagist.com

phppackagistcomposer
Autre

What's New in Private Packagist, February 2026 Update

Private Packagist a récemment amélioré ses flux d'authentification, la gestion de l'authentification multi-facteurs, et les notifications Microsoft Teams. De plus, la recherche de Composer a été optimisée pour inclure des URL cliquables. Une nouvelle version de Composer, la 2.9, installé des protections de sécurité pour empêcher la mise à jour de paquets avec des avertissements de sécurité connus. Ces changements visent à améliorer l'expérience utilisateur et renforcer la sécurité des comptes.

blog.packagist.com

composermicrosoft teamsphp
Autre

What’s New in Private Packagist, November Update

Au cours des trois derniers mois, plusieurs mises à jour importantes ont été apportées à Private Packagist, notamment des améliorations de la page de suivi de l'utilisation des paquets, l'introduction de Trusted Publishing pour un déploiement sécurisé des artefacts, et des contrôles de sécurité et d'audit améliorés. Les nouvelles fonctionnalités incluent une meilleure visibilité sur les dépendances et leurs relations, une publication d'artefacts sécurisée sans identifiants, une configuration simplifiée des synchronisations avec les plateformes de code, et des améliorations des commandes de paquets. La version 2.9 de Composer introduit également des fonctionnalités de sécurité avancées pour bloquer les mises à jour de paquets avec des avis de sécurité connus.

blog.packagist.com

github actionsbitbucket apiphp
Sécurité

Strengthening PHP Supply Chain Security with a Transparency Log for Packagist.org

La sortie de Composer 2.9 introduit des fonctionnalités de sécurité financées par Private Packagist. Un système de journal de transparence sur Packagist.org sera développé pour rendre visibles les événements de sécurité. Ce système aidera à la détection des modifications suspectes et à l'auditabilité de la chaîne d'approvisionnement des packages PHP. Une prochaine initiative visera à améliorer la propriété organisationnelle des packages pour renforcer la sécurité.

blog.packagist.com

phpcomposerapi
Autre

Composer 2.9 Release

La version 2.9.0 de Composer est disponible et introduit des améliorations de sécurité, la gestion des dépôts via CLI, et bien plus encore. Composer bloque automatiquement les mises à jour des paquets ayant des advisories de sécurité connues. La gestion des dépôts est simplifiée avec une nouvelle commande CLI. D'autres améliorations incluent la récupération automatique des conflits de fichiers de verrouillage et des mises à jour de performance.

blog.packagist.com

composerjsonphp
"
Sécurité

Bitbucket deprecated App Passwords

Bitbucket a annoncé la dépréciation de l'utilisation des mots de passe d'application au profit d'un nouveau système de jetons d'API. Ce changement impacte les organisations utilisant Private Packagist avec des synchronisations de Workspace sur Bitbucket Cloud. Les mots de passe d'application cesseront de fonctionner le 9 juin 2026. Les jetons d'API offrent une méthode d'authentification plus sécurisée et plus de flexibilité pour les administrateurs. Les utilisateurs sont encouragés à migrer vers les jetons d'API dès que possible. Des étapes de migration sont fournies, ainsi qu'un soutien en cas de besoin.

blog.packagist.com

private packagistbitbucketapi tokens
"
Autre

A Call for Sustainable Open Source Infrastructure

L'article évoque l'importance d'un engagement collectif pour la durabilité de l'infrastructure open source, à travers une déclaration commune signée par plusieurs registres de paquets majeurs, incluant Composer. Il souligne la nécessité d'un soutien financier pour maintenir et améliorer les services, en réponse à la croissance des demandes des utilisateurs, souvent sans contribution à la durabilité. Des recommandations sont également proposées aux organisations et aux développeurs pour optimiser leurs usages et soutenir l'infrastructure.

blog.packagist.com

composerci/cdphp
Autre

What’s New in Private Packagist, February Update

Cet article présente les nouveautés de Private Packagist, notamment le support pour les métadonnées php-ext, des améliorations de l'intégration GitHub, des mises à jour de sécurité et une meilleure gestion des organisations. Les utilisateurs peuvent désormais installer des extensions PHP directement à partir de dépôts Packagist privés, et des notifications de sécurité plus détaillées sont également fournies. De plus, la terminologie a été clarifiée en renommant les sous-dépôts en sous-organisations.

blog.packagist.com

githubcomposerphp
Autre

The Reality of Funding Open Source

L'article évoque les défis liés au financement durable des projets open source, soulignant l'écart entre la valeur générée par le logiciel open source et le financement dont il bénéficie. L'auteur, fondateur de Packagist Conductors, partage l'approche de son entreprise pour soutenir financièrement l'écosystème PHP tout en promouvant la responsabilité des entreprises dans le financement des infrastructures open source. Des statistiques sur les contributions financières en 2024 sont fournies, ainsi qu'un appel à action pour les entreprises afin qu'elles soutiennent le développement open source de manière durable.

blog.packagist.com

composeropen sourcephp