技术博客
Composer 本身**不会对每个下载的 .zip/.tar 包执行 GPG 解签名**——它不内置 GPG 引擎,也不要求包作者上传 .sig 文件。所谓“签名验证”,实际是三层防御:HTTPS 连接加密 + 服务器证书可信(TLS 验证)+ composer.lock 中记录的 dist.shasum 哈希比对。这三者缺一不可,但都不是传统意义的“数字签名”。
Composer 默认把依赖装进项目根目录下的 vendor 文件夹,改它最直接。在项目根目录的 composer.json 里加一段配置就行:
Composer 默认所有 composer install 或 composer update 都会联网拉取包,包括插件(比如 hirak/prestissimo、phpstan/extension-installer)。离线时直接报错:Could not fetch https://repo.packagist.org/packages.json,连 metadata 都拿不到,更别说插件本身。
Composer 本身不支持在 auth.json 里直接写“多域名共享同一套账号”的通配规则,每个域名必须单独声明。你不能写 "*.example.com": { … },它会忽略或报错。
安全风险路径藏在 advisories 数组每个条目的 source 字段里,它不是直接列出调用链,而是给出触发该漏洞的「最短依赖路径」——即从你的项目根开始,到引入问题包的那条最小依赖链。
在 laravel 9+ 中使用 eloquent 关联时,若在 `belongsto()` 或 `hasmany()` 等方法中错误传入字符串形式的完整命名空间(如 `’app/models/barang’`,注意小写 `app` 和斜杠 `/`),将触发“class not found”错误;正确做法是使用 `classname::class` 常量或直接传入类名。
因为默认行为会去 packagist.org 拉包,还会调用 git clone 或 curl 下 zip 包,甚至执行 composer validate 和 composer update 的钩子逻辑。没网络 + 没 root 权限 = 连 composer.phar 自身都可能跑不起来——比如它试图写 /tmp 但被限制,或找不到系统级 openssl 扩展。
WSL 默认不会把 Windows 的 PATH 自动继承过来,更不会识别 Windows 下通过 Installer 安装的 Composer。你在 WSL 里敲 composer –version 报 command not found,大概率是压根没在 Linux 环境里装过它。
Composer 本身不执行 Git hooks,pre-commit 是 Git 的钩子,必须靠第三方工具或手动集成。最直接的做法是用 composer install 或 composer update 触发钩子安装,但前提是项目里已引入支持钩子的包(比如 brainmaestro/composer-git-hooks)。
直接在项目根目录的 composer.json 里加 "config" 段,用 "vendor-dir" 指定路径。它只影响当前项目,不污染全局配置。