Composer 2.10 отримав вбудоване блокування Malware та нові політики для роботи із залежностями

Перекладено ШІ 0 Laravel News 29 травня, 2026

Composer 2.10 отримав вбудований захист від шкідливого коду та нову систему керування політиками безпеки залежностей. Дізнайтеся, які ще важливі зміни та покращення продуктивності чекають на розробників у цьому оновленні.

Вийшов Composer 2.10. У новій версії з’явилася вбудована фільтрація шкідливого ПЗ, система налаштування політик залежностей та низка безпекових оновлень для PHP-проєктів.

Про реліз оголосили Stephan Vock та Nils Adermann у блозі Packagist. Ключове нововведення — політика боротьби зі шкідливим ПЗ, яка блокує встановлення небезпечних версій пакетів через Packagist.org.

Composer 2.10 запроваджує механізм Malware Policy для швидкого вилучення шкідливого коду. Це стосується версій, опублікованих хакерами після зламу легітимних пакетів, або недобросовісними розробниками. Помічені версії вилучаються з пулу доступних, тому їх неможливо встановити через composer update, composer require або composer create-project. Важливо, що перевірка працює і під час composer install: якщо пакет визнали шкідливим уже після створення composer.lock, наступна інсталяція завершиться помилкою. Це запобігає прихованому потраплянню загроз у CI-процеси або на продакшн. Крім того, такі версії виявляє composer audit, який за замовчуванням сигналізує про помилку при знаходженні malware.

Composer і раніше блокував версії з відомими вразливостями під час оновлень. Тепер захист розширено на шкідливе ПЗ, зокрема на релізи, випущені зловмисниками після захоплення контролю над репозиторієм.

Інші помітні зміни в Composer 2.10:

  • Новий об'єкт config.policy для керування безпековими звітами, застарілими (abandoned) пакетами та шкідливим ПЗ.
  • Відмова від автоматичного переходу на source (source fallback), якщо завантаження dist не вдалося (додано тимчасову опцію source-fallback).
  • Підтримка символів підстановки (wildcards) для команди composer update --with, наприклад: composer update --with "acme/*:^2.0".
  • Нова опція --require для команди composer create-project.
  • Покращення автозавантаження плагінів та оптимізація пам'яті в dependency resolver.

У ченджлозі зазначено дві зміни, що впливають на зворотну сумісність: вимкнено автоматичний source fallback, а коди виходу composer audit тепер стандартні: 0 — успіх, 1 — виявлено загрози.

Оновити Composer можна стандартною командою:

composer self-update

Детальніше про реліз, приклади конфігурацій та безпековий контекст читайте у офіційному анонсі. Також розробникам пакетів радять ознайомитися з дописом про безпеку ланцюжка постачання у Composer та Packagist.

Популярні

Інше, що варто прочитати

17 Оновлено 29 травня, 2026

Обробка геопросторових даних за допомогою Laravel Magellan

Ви готові відкрити нові горизонти у роботі з геопросторовими даними в Laravel? Дізнайтеся, як за допомогою PostGIS та пакету Laravel-Magellan можна легко зберігати, запитувати та маніпулювати інформацією про розташування, перетворюючи ваші проекти на вражаючі рішення у сфері картографії та геолокації!

2026 ЧИТАТИ
12 Оновлено 29 травня, 2026

Удосконалюйте свої проєкти Laravel за допомогою справжнього штучного інтелекту для кодування з Laravel Boost!

Готові підняти свій робочий процес у Laravel на новий рівень? У цій статті я розгляну Laravel Boost, інноваційний AI-допомічник для програмування, який зробить вашу розробку швидшою та продуктивнішою

2026 ЧИТАТИ
13 Оновлено 29 травня, 2026

Створення CLI-додатка за допомогою Laravel та Docker

Зазирніть у світ Laravel, де потужний CLI-фреймворк відкриває нові можливості для розробки командного інтерфейсу. Дізнайтеся, як створити просту утиліту для перевірки акцій, яка працює з Docker, та які переваги це може принести у вашому проєкті!

2026 ЧИТАТИ