Створений щоб помирати | php #composer #security🚨 Оновіть Composer до версії 2.9.6 або 2.2.27 (...

#php #composer #security🚨 Оновіть Composer до версії 2.9.6 або 2.2.27 (LTS)В Composer виправили вразливості CVE-2026-40176, CVE-2026-40261Через Perforce driver можна було підсунути значення, які попадали в shell-команди без екранування, як результат — це була command injection в вашій консолі.Нічого критично нового, але ще один сигнал, що безпека supply chain — це не теорія, а реальність.🧠 Цей сухий факт, це ще одне нагадування про очевидну, але часто ігноровану річ:composer install === виконання чужого коду на своєму компіІ не тільки через scripts в composer.jsonА і на рівні самого composer💥 НайнеприємнішеНавіть якщо ти навіть не використовуєш Perforce, dependency може змусити composer виконати команду.📌 Без оновлення composer ти в зоні ризику якщо:— ставиш пакети з source— працюєш з dev-версіями— підключаєш кастомні репозиторії— просто запускаєш composer на чужому коді✅ Що робити?— оновити composer (там вже пофіксили)— по можливості використовувати dist замість source— менше довіряти всьому підряд🧭 Моя позиціяComposer давно перестав бути просто менеджером залежностей, сьогодні це повноцінний execution layer і кожен composer install — це маленький "bash" з інтернету, перед підключенням кастомних залежностей потрібно оцінювати що саме воно буде тягнути за собою.