blog.packagist.com

Sécurité

Discover Security Advisories with Composer’s audit command

Octobre est le mois de la sensibilisation à la cybersécurité. L'article aborde l'importance des pratiques de sécurité comme l'utilisation de mots de passe forts et l'authentification à facteurs multiples. Il évoque aussi des outils de la communauté PHP, notamment Composer, pour gérer les vulnérabilités dans les dépendances, par le biais de la commande audit qui signale les avis de sécurité pour les paquets installés. Cela aide les développeurs à intégrer ces pratiques essentielles à leur processus de développement tout en réduisant les risques liés aux vulnérabilités connues.

blog.packagist.com

phpcomposerpackagist
Autre

Private Packagist is joining the Open Source Pledge

Private Packagist annonce son engagement à soutenir les projets open-source en dépensant au moins 2 000 $ par développeur. En 2023, ils ont déjà contribué 26 528 $ à diverses initiatives, notamment la PHP Foundation et Symfony. Cette démarche vise à encourager d'autres entreprises à faire de même pour renforcer la durabilité des projets open-source. De plus, ils annoncent la sortie de nouvelles versions de Composer pour corriger des vulnérabilités de sécurité.

blog.packagist.com

phpcomposersymfony
Dev back

Shutting down Packagist.org support for Composer 1.x

Composer 1.x, utilisé par la communauté PHP, sera complètement désactivé le 1er août 2025 en raison de ses limitations architecturales et de la nécessité de se concentrer sur Composer 2.x. Les utilisateurs doivent migrer vers Composer 2.x avant le 1er février 2025 pour éviter toute interruption, bien que des mesures temporaires soient en place pour ceux qui ont besoin de rester sur 1.x via Private Packagist jusqu'en décembre 2026. Des mises à jour de sécurité pour Composer 2.x sont également annoncées.

blog.packagist.com

composerphppackagist
Sécurité

Composer 2.7.7 & Security Audit by Cure53 funded by Alpha-Omega

La version 2.7.7 de Composer a été publiée pour corriger deux vulnérabilités de sécurité identifiées lors d'un audit par Cure53, financé par le projet Alpha-Omega de la Linux Foundation. Les vulnérabilités concernaient des injections de commandes à travers des noms de branches git malveillants. Il est conseillé de mettre à jour immédiatement vers la nouvelle version. Les bonnes pratiques de sécurité soulignent l'importance d'utiliser des bibliothèques bien étudiées pour échapper les entrées lors de l'exécution de processus système ou de commandes shell en PHP.

blog.packagist.com

phpcomposergit
Autre

Composer 2.7 and CVE-2024-24821: Code execution and possible privilege escalation

Mise à jour de Composer vers la version 2.7.0 pour corriger une vulnérabilité (CVE-2024-24821) liée à l'exécution de code et la montée en privilèges. La nouvelle version apporte des fonctionnalités notables, notamment un nouveau flag pour des mises à jour partielles et un tri des paquets obsolètes. Des recommandations sont fournies pour garantir la sécurité lors de l'utilisation de Composer, notamment éviter de l'exécuter en tant que root et vérifier la confiance des fichiers dans le répertoire vendor.

blog.packagist.com

composerphp
Sécurité

Packagist.org maintainer account takeover

Le 1er mai 2023, un attaquant a accédé à quatre comptes inactifs sur Packagist.org, modifiant les descriptions de plusieurs paquets tout en laissant les contenus originaux intacts. En réponse, Packagist.org a désactivé les comptes compromis et rétabli les URLs des paquets. Il est conseillé aux utilisateurs de ne pas réutiliser leurs mots de passe, d'activer l'authentification à deux facteurs et de vérifier les dépendances dans leurs fichiers de verrouillage. Des mesures de sécurité supplémentaires sont prévues pour améliorer la traçabilité des modifications sur les paquets.

blog.packagist.com

composerphp2fa
Dev back

Composer 2.4 Release

La version 2.4 de Composer propose de nouvelles fonctionnalités de sécurité, y compris des avertissements sur les versions de dépendances non sécurisées et un nouveau système d'audit pour les dépendances installées. De plus, des améliorations de complétion bash facilitent l'utilisation des commandes Composer. Les utilisateurs peuvent également ajuster leurs contraintes de version pour correspondre aux versions installées, ce qui aide à éviter des conflits et améliore la résolution des dépendances. Ce mois d'octobre, Composer s'engage à soutenir l'open source en investissant dans des projets liés à la sécurité et en promouvant des pratiques en ligne sûres.

blog.packagist.com

phpcomposersecurity monitoring
Sécurité

CVE-2022-24828: Composer Command Injection Vulnerability

Une vulnérabilité de sécurité de commande d'injection (CVE-2022-24828) a été découverte dans Composer, affectant les versions antérieures. Les mises à jour (2.3.5, 2.2.12, 1.10.26) corrigent cette faille permettant à un attaquant de contrôler l'exécution de commandes par une mauvaise gestion des noms de branches. Bien que le problème ait été signalé, aucune exploitation connue n'a eu lieu. Des mesures de validation des entrées ont été mises en place pour éviter l'exploit.

blog.packagist.com

composergitmercurial
Autre

Composer 2.3 Release

La version 2.3 de Composer augmente la version minimale requise de PHP et introduit des types de paramètres scalaires et des types de retour natifs. Bien que cela modernise le code, cela peut causer des ruptures de compatibilité pour les intégrateurs. La version minimale des composants Symfony est désormais 5.4. Des améliorations de performance mineures ont également été apportées, en particulier lors de l'exécution de Composer sur des branches de fonctionnalités. Composer 1.x a bien servi la communauté PHP, mais il est temps d'adopter Composer 2.x pour ses améliorations significatives.

blog.packagist.com

phpcomposersymfony
Dev back

Composer 2.2 Release

La version 2.2 de Composer est une version LTS (Support à Long Terme) qui continuera à recevoir des corrections pour les bugs critiques et les problèmes de sécurité jusqu'à fin 2023. Cette mise à jour nécessite PHP 7.1 ou supérieur, améliorant ainsi la performance avec une réduction jusqu'à 90% de l'utilisation de la mémoire et du CPU lors de la résolution des dépendances. De plus, la sécurité d'exécution des plugins a été renforcée avec un nouveau paramètre de configuration, invitant les utilisateurs à valider les plugins durant leur première utilisation. Diverses améliorations concernant la gestion des exigences de plateforme ont également été ajoutées.

blog.packagist.com

phpcomposer