Pagina 1 di 1
Composer è uno strumento maturo, ma il modo in cui lo usi cambia profondamente la stabilità e la sicurezza dell'applicazione. Lock file ignorato perché 'tanto sappiamo noi', vendor committato per 'velocizzare il deploy', dipendenze caricate via dev-master perché 'serve l'ultima feature': tre anti-pattern che pago come consulente ogni mese.
In questa categoria scrivo di Composer applicato bene: lock file disciplinato e committato, autoload ottimizzato con `--classmap-authoritative` per produzione, gestione conflitti su upgrade major di Laravel e Symfony, pinning di versioni critiche, plugin community sicuri vs rischiosi.
Se vuoi sistemare il modo in cui usi Composer nei tuoi progetti, parliamone. Oppure scopri il mio percorso in PHP.
La maggior parte delle vulnerabilità che trovo nei progetti PHP sono in dipendenze Composer non aggiornate da mesi. Ho configurato Renovate su una decina di progetti: aggiornamenti raggruppati per tipo (minor, patch, security), auto-merge per patch dopo i test e notifiche per major. La surface di attacco si è ridotta drasticamente. Continua a leggere
