PHP 依赖管理器 Composer 2.9 发布
Composer 2.9.0 发布了,改进了安全性、CLI 仓库管理,还有一堆其他东西。
原文 PHP 依赖管理器 Composer 2.9 发布
自动安全拦截
Composer 现在会自动拦截更新到有已知安全漏洞的包。这个保护默认开启,防止你不小心更新到有漏洞的包版本。如果需要,你可以通过新的 audit.block-insecure 配置项来调整这个行为。
这个功能是对现有 composer audit 命令的补充,你可以在现有的 composer.lock 文件上运行它,获取当前安装的包是否包含已知漏洞的报告。
可选的,你也可以通过 audit.block-abandoned 拦截废弃的包。这个默认不开启。
参见 #11956
新的 Repository 命令
通过新的 repository 命令,管理仓库变得更简单了。直接从命令行添加、删除或更新仓库,不用手动编辑 composer.json。仓库现在默认存储为带 name 属性的 JSON 数组,方便寻址和组织。
composer repo list
composer repo add foo vcs https://github.com/acme/foo
composer repo add bar composer https://repo.packagist.com/bar
composer repo add qux vcs https://example.org --after bar
composer repo remove foo
composer repo set-url foo https://git.example.org/acme/foo
参见 #12388
自动 Lock 文件冲突恢复
Composer 现在能自动从简单的 lock 文件冲突中恢复。如果只有 content-hash 属性有冲突,你可以运行 update --lock 或重新执行某个包的更新,它会读取 lock 文件并忽略 git 冲突标记。
参见 #11517
其他改进
- 最小变更更新: 新的
--minimal-changesflag 用于完整更新,只修改满足变更约束所必需的包 #12349 - Forgejo/Codeberg 支持: 原生支持 Forgejo 仓库 #12307
- 性能: 通过减少 autoloader 创建提升了 script handler 性能,添加了 HTTP/3 支持
在完整的 changelog 中了解其他特性和 bugfix。