Iniciar sesión Registro
Anuncios
Tu espacio publicitario
Reserva este slot exclusivo para el periodo elegido.
Comprar publicidad →
Logotipo de la comunidad de telegram - Створений щоб помирати
Añadido 05 may. 2026

Створений щоб помирати

@php_while_true
Número de suscriptores: 168
Fotos: 24
Videos: 7
Enlaces: 41
Descripción:
Канал про PHP, розробку, проєктування і нескінченне навчання в циклі життя.
Fuente

Створений щоб помирати | php #composer #security🚨 Оновіть Composer до версії 2.9.6 або 2.2.27 (...

Logotipo de la comunidad de telegram - Створений щоб помирати Створений щоб помирати @php_while_true
429 Vistas/Alcance 2026-04-15 12:05 Mensaje №116
#php #composer #security🚨 Оновіть Composer до версії 2.9.6 або 2.2.27 (LTS)В Composer виправили вразливості CVE-2026-40176, CVE-2026-40261Через Perforce driver можна було підсунути значення, які попадали в shell-команди без екранування, як результат — це була command injection в вашій консолі.Нічого критично нового, але ще один сигнал, що безпека supply chain — це не теорія, а реальність.🧠 Цей сухий факт, це ще одне нагадування про очевидну, але часто ігноровану річ:composer install === виконання чужого коду на своєму компіІ не тільки через scripts в composer.jsonА і на рівні самого composer💥 НайнеприємнішеНавіть якщо ти навіть не використовуєш Perforce, dependency може змусити composer виконати команду.📌 Без оновлення composer ти в зоні ризику якщо:— ставиш пакети з source— працюєш з dev-версіями— підключаєш кастомні репозиторії— просто запускаєш composer на чужому коді Що робити?— оновити composer (там вже пофіксили)— по можливості використовувати dist замість source— менше довіряти всьому підряд🧭 Моя позиціяComposer давно перестав бути просто менеджером залежностей, сьогодні це повноцінний execution layer і кожен composer install — це маленький "bash" з інтернету, перед підключенням кастомних залежностей потрібно оцінювати що саме воно буде тягнути за собою.