Existe-t-il un mécanisme permettant de s'assurer que les paquets téléchargés dans packagist.org sont exempts de code malveillant? Est-ce que quelqu'un regarde le code source dans les paquets installés/téléchargés. Par exemple: Que se passe-t-il si quelqu'un télécharge un paquet qui remplit sa fonction principale et en dehors de cela envoie mon fichier de configuration au serveur externe?Compositeur et packagiste - comment éviter l'injection de code malveillant
Lorsque l'installation de paquets est aussi simple que d'ajouter une ligne dans composer.json, je suis un peu inquiet que la situation ci-dessus peut se produire.
N'installez pas de paquets en qui vous n'avez pas confiance? – Jon