Composer

Sécurité

Discover Security Advisories with Composer’s audit command

Octobre est le mois de la sensibilisation à la cybersécurité. L'article aborde l'importance des pratiques de sécurité comme l'utilisation de mots de passe forts et l'authentification à facteurs multiples. Il évoque aussi des outils de la communauté PHP, notamment Composer, pour gérer les vulnérabilités dans les dépendances, par le biais de la commande audit qui signale les avis de sécurité pour les paquets installés. Cela aide les développeurs à intégrer ces pratiques essentielles à leur processus de développement tout en réduisant les risques liés aux vulnérabilités connues.

blog.packagist.com

composer
Autre

Private Packagist is joining the Open Source Pledge

Private Packagist annonce son engagement à soutenir les projets open-source en dépensant au moins 2 000 $ par développeur. En 2023, ils ont déjà contribué 26 528 $ à diverses initiatives, notamment la PHP Foundation et Symfony. Cette démarche vise à encourager d'autres entreprises à faire de même pour renforcer la durabilité des projets open-source. De plus, ils annoncent la sortie de nouvelles versions de Composer pour corriger des vulnérabilités de sécurité.

blog.packagist.com

composer
Dev back

Shutting down Packagist.org support for Composer 1.x

Composer 1.x, utilisé par la communauté PHP, sera complètement désactivé le 1er août 2025 en raison de ses limitations architecturales et de la nécessité de se concentrer sur Composer 2.x. Les utilisateurs doivent migrer vers Composer 2.x avant le 1er février 2025 pour éviter toute interruption, bien que des mesures temporaires soient en place pour ceux qui ont besoin de rester sur 1.x via Private Packagist jusqu'en décembre 2026. Des mises à jour de sécurité pour Composer 2.x sont également annoncées.

blog.packagist.com

composer
Sécurité

Composer 2.7.7 & Security Audit by Cure53 funded by Alpha-Omega

La version 2.7.7 de Composer a été publiée pour corriger deux vulnérabilités de sécurité identifiées lors d'un audit par Cure53, financé par le projet Alpha-Omega de la Linux Foundation. Les vulnérabilités concernaient des injections de commandes à travers des noms de branches git malveillants. Il est conseillé de mettre à jour immédiatement vers la nouvelle version. Les bonnes pratiques de sécurité soulignent l'importance d'utiliser des bibliothèques bien étudiées pour échapper les entrées lors de l'exécution de processus système ou de commandes shell en PHP.

blog.packagist.com

composer
Autre

Composer 2.7 and CVE-2024-24821: Code execution and possible privilege escalation

Mise à jour de Composer vers la version 2.7.0 pour corriger une vulnérabilité (CVE-2024-24821) liée à l'exécution de code et la montée en privilèges. La nouvelle version apporte des fonctionnalités notables, notamment un nouveau flag pour des mises à jour partielles et un tri des paquets obsolètes. Des recommandations sont fournies pour garantir la sécurité lors de l'utilisation de Composer, notamment éviter de l'exécuter en tant que root et vérifier la confiance des fichiers dans le répertoire vendor.

blog.packagist.com

composer
Dev back

Tips for optimizing integration tests - SarvenDev

Optimiser les tests d'intégration est crucial pour un bon développement. L'article fournit des conseils pratiques, tels que l'utilisation d'autoloader optimisés de Composer, des transactions pour réinitialiser l'état de la base de données et l'utilisation de tmpfs dans Docker pour améliorer les performances. D'autres astuces incluent la réduction de la taille des images Docker et l'importance d'utiliser les dernières versions de PHP pour éviter les problèmes de mémoire. Des méthodes pour diviser les tests sur plusieurs jobs CI et l'utilisation de Paratest pour les tests parallèles sont également abordées afin d'accélérer les délais de retour d'information.

sarvendev.com

composer
Dev back

Published: phpstan-todo-by

Le nouvel outil phpstan-todo-by est une extension de PHPStan conçue pour vérifier les commentaires TODO avec des dates d'expiration. Lorsque certaines conditions sont remplies, comme l'atteinte d'une date ou d'une version spécifique, ces commentaires deviennent des erreurs dans PHPStan. L'extension prend en charge divers formats de TODO et permet d'intégrer des contraintes de commentaires. Initialement bien accueilli, le projet a rapidement accru sa popularité, atteignant 50 étoiles en une semaine.

staabm.github.io

composer
Dev back

Phpstan Result Cache Gotchas

Cet article aborde les optimisations de performance pour PHPStan, en mettant l'accent sur l'utilisation du cache des résultats pour améliorer les temps d'analyse. Il décrit comment activer et gérer le cache, les raisons pour lesquelles il peut être invalidé et donne des conseils pour une utilisation efficace en environnement de développement et d'intégration continue. Les résultats montrent une réduction significative des temps d'analyse avec l'utilisation du cache.

staabm.github.io

composer
Dev back

Get Composer to suggest dev packages to `require-dev`

La nouvelle fonctionnalité de Composer 2.4 permet de suggérer l'installation de paquets destinés au développement. Lorsque l'on installe un paquet, Composer peut automatiquement proposer l'ajout d'un drapeau --dev si le paquet est reconnu comme un outil de développement. Cela aide les développeurs à se souvenir d'installer les outils nécessaires sous la section require-dev du fichier composer.json. Cette fonctionnalité améliore le flux de travail lors de l'installation de paquets comme PHPUnit.

php.watch

composer
Sécurité

Packagist.org maintainer account takeover

Le 1er mai 2023, un attaquant a accédé à quatre comptes inactifs sur Packagist.org, modifiant les descriptions de plusieurs paquets tout en laissant les contenus originaux intacts. En réponse, Packagist.org a désactivé les comptes compromis et rétabli les URLs des paquets. Il est conseillé aux utilisateurs de ne pas réutiliser leurs mots de passe, d'activer l'authentification à deux facteurs et de vérifier les dépendances dans leurs fichiers de verrouillage. Des mesures de sécurité supplémentaires sont prévues pour améliorer la traçabilité des modifications sur les paquets.

blog.packagist.com

composer