Composer

Dev back

Composer 2.4 Release

La version 2.4 de Composer propose de nouvelles fonctionnalités de sécurité, y compris des avertissements sur les versions de dépendances non sécurisées et un nouveau système d'audit pour les dépendances installées. De plus, des améliorations de complétion bash facilitent l'utilisation des commandes Composer. Les utilisateurs peuvent également ajuster leurs contraintes de version pour correspondre aux versions installées, ce qui aide à éviter des conflits et améliore la résolution des dépendances. Ce mois d'octobre, Composer s'engage à soutenir l'open source en investissant dans des projets liés à la sécurité et en promouvant des pratiques en ligne sûres.

blog.packagist.com

composer
Sécurité

CVE-2022-24828: Composer Command Injection Vulnerability

Une vulnérabilité de sécurité de commande d'injection (CVE-2022-24828) a été découverte dans Composer, affectant les versions antérieures. Les mises à jour (2.3.5, 2.2.12, 1.10.26) corrigent cette faille permettant à un attaquant de contrôler l'exécution de commandes par une mauvaise gestion des noms de branches. Bien que le problème ait été signalé, aucune exploitation connue n'a eu lieu. Des mesures de validation des entrées ont été mises en place pour éviter l'exploit.

blog.packagist.com

composer
Autre

Composer 2.3 Release

La version 2.3 de Composer augmente la version minimale requise de PHP et introduit des types de paramètres scalaires et des types de retour natifs. Bien que cela modernise le code, cela peut causer des ruptures de compatibilité pour les intégrateurs. La version minimale des composants Symfony est désormais 5.4. Des améliorations de performance mineures ont également été apportées, en particulier lors de l'exécution de Composer sur des branches de fonctionnalités. Composer 1.x a bien servi la communauté PHP, mais il est temps d'adopter Composer 2.x pour ses améliorations significatives.

blog.packagist.com

composer
Dev back

Composer 2.2 Release

La version 2.2 de Composer est une version LTS (Support à Long Terme) qui continuera à recevoir des corrections pour les bugs critiques et les problèmes de sécurité jusqu'à fin 2023. Cette mise à jour nécessite PHP 7.1 ou supérieur, améliorant ainsi la performance avec une réduction jusqu'à 90% de l'utilisation de la mémoire et du CPU lors de la résolution des dépendances. De plus, la sécurité d'exécution des plugins a été renforcée avec un nouveau paramètre de configuration, invitant les utilisateurs à valider les plugins durant leur première utilisation. Diverses améliorations concernant la gestion des exigences de plateforme ont également été ajoutées.

blog.packagist.com

composer
Dev back

Introducing: Update Review

Private Packagist introduit une nouvelle fonctionnalité d'Update Review qui permet aux utilisateurs d'afficher les changements dans le fichier composer.lock dans une table claire lors de la mise à jour des dépendances dans une pull request. Cette fonctionnalité, disponible sans coût supplémentaire, facilite la revue des modifications des dépendances, réduisant ainsi les risques d'erreurs et de problèmes de compatibilité. Les utilisateurs peuvent consulter un résumé humainement lisible des changements et des liens directs vers les diffs nécessaires, rendant la gestion des dépendances plus efficace et sécurisée.

blog.packagist.com

composer
Dev back

Sunsetting the PHP Version Stats Blog Series

L'auteur annonce la fin de sa série d'articles sur les statistiques de l'utilisation des versions de PHP, qui seront désormais automatisées et intégrées directement sur Packagist.org. La nouvelle fonctionnalité permettra aux mainteneurs de consulter les statistiques d'utilisation de PHP par paquet et version, facilitant ainsi la prise de décisions sur le support des versions. De plus, il parle de l'importance de la sensibilisation à la cybersécurité et du soutien à l'open-source.

blog.packagist.com

composer
Dev back

PHP Versions Stats - 2021.1 Edition

L'article présente les statistiques d'utilisation des versions de PHP en mai 2021, montrant que PHP 7.4 continue de croître tandis que l'adoption de PHP 8 reste limitée. Il aborde également les exigences des paquets PHP sur Packagist.org, notant que PHP 7.1 est encore largement requis. L'article encourage la mise à jour vers Composer 2 pour profiter des améliorations de performance.

blog.packagist.com

composer
Sécurité

Composer Command Injection Vulnerability

Une nouvelle vulnérabilité de type injection de commande a été détectée dans Composer. Les versions 2.0.13 et 1.10.22 corrigent cette faille qui permettait une exécution de commandes à distance via des URL non assainies dans le fichier composer.json. Bien que jugée non exploitée, il est recommandé de faire la mise à jour et d'auditer les fichiers composer.lock afin d'éliminer tout URL potentiellement dangereux. Composer 2.0 offre des améliorations significatives en termes de performances et de gestion de la mémoire.

blog.packagist.com

composer
Sécurité

Git Clone Security Vulnerability

Le projet Git a publié des mises à jour pour corriger une vulnérabilité de sécurité (CVE-2021-21300) qui permet d'exécuter du code à distance via des filtres dans des systèmes de fichiers sans distinction de casse pendant une opération de clonage. Plusieurs versions sécurisées sont disponibles et il est recommandé de mettre à jour. Des étapes de mitigation sont fournies pour ceux qui ne peuvent pas mettre à jour. Composer utilise Git pour cloner des dépendances, et il est conseillé aux utilisateurs de prendre des précautions lors du clonage de dépôts non fiables.

blog.packagist.com

composer