在使用 Composer 时，插件（plugins）可以扩展其功能，但出于安全考虑，从 Composer 2.2 开始引入了 allow-plugins 配置项，用于明确控制哪些包可以注册为插件。如果不正确配置，可能会导致安装中断或安全风险。

什么是 allow-plugins？

allow-plugins 是 composer.json 中的一个配置选项，用来声明允许执行插件代码的包列表。默认情况下，Composer 会阻止所有插件运行，防止恶意包自动执行代码。你需要显式启用你信任的插件包。

如何安全地配置 allow-plugins

为了在保证安全的前提下允许必要的插件运行，你可以按照以下方式配置：

• 项目级配置（推荐）：在项目的 composer.json 中设置，只允许特定可信插件。
• 全局配置：适用于经常使用的工具类插件，如 Lar*el Pint、Symfony CLI 等。

示例：在 composer.json 中添加：

{
    "config": {
        "allow-plugins": {
            "composer/package-versions-deprecated": true,
            "symfony/flex": true,
            "lar*el/pint": true,
            "phpstan/extension-installer": true
        }
    }
}

这里每一项键是包名，值设为 true 表示允许该包作为插件运行。避免使用 true 作为整个配置的值（即 "allow-plugins": true），这会关闭所有检查，带来安全风险。

常见需要允许的插件包

一些常用框架或工具依赖插件机制，常见的包括：

• symfony/flex：Symfony 项目的依赖管理器。
• lar*el/pint：Lar*el 的代码风格检查工具。
• phpstan/extension-installer：自动安装 PHPStan 扩展。
• dealerdirect/phpcodesniffer-composer-installer：PHPCS 规则集成。

只添加你明确知道用途并信任的包。

科大讯飞推出的智能体Agent开发平台，助力开发者快速搭建生产级智能体

如何处理未知插件警告

当你运行 composer install 时，如果遇到类似：

The package "some/package" is not allowed to run scripts.
You need to add its name to the "config.allow-plugins" section in your composer.json.

不要直接允许，先确认这个包是否真的需要作为插件运行。查看其文档或源码，确认它没有恶意行为。可访问 Packagist 查看包的维护者、下载量和更新频率。

若不确定，可临时禁止插件：

"config": {
    "allow-plugins": false
}

然后手动逐个添加。

总结

allow-plugins 的设计是为了提升安全性，防止第三方包静默执行代码。合理配置的关键是：

• 不全局开启 allow-plugins。
• 只允许已知且可信的包。
• 定期审查 composer.json 中的插件列表。

基本上就这些。保持警惕，才能安全使用 Composer 插件功能。