Composer 2.9: Automatische Sicherheitsprüfung für TYPO3

Packagist hat Composer 2.9.0 veröffentlicht – mit drei Features, die den Arbeitsalltag in TYPO3-Projekten spürbar vereinfachen. Besonders die automatische Sicherheitsprüfung und die neue Repository-Verwaltung per CLI sind praktische Verbesserungen für Entwickler und Agenturen.

Automatische Blockade unsicherer Pakete

Composer blockiert ab Version 2.9 standardmäßig Updates auf Pakete mit bekannten Sicherheitslücken. Wer composer update ausführt, bekommt eine Warnung, wenn ein Update zu einer verwundbaren Version führen würde.

Für TYPO3-Projekte ist das besonders relevant: Extensions und Dependencies mit Security-Advisories werden automatisch erkannt. Das reduziert das Risiko, versehentlich anfällige Versionen in Produktivumgebungen zu deployen.

Das Feature lässt sich über audit.block-insecure in der composer.json konfigurieren. Wer will, kann zusätzlich audit.block-abandoned aktivieren – dann werden auch Pakete blockiert, deren Entwicklung eingestellt wurde.

Die Funktion ergänzt den bestehenden composer audit-Befehl, mit dem sich eine installierte composer.lock-Datei auf Schwachstellen prüfen lässt.

Praxis-Beispiel: Eine TYPO3-Agentur mit dutzenden Kunden-Projekten kann mit audit.block-insecure zentral sicherstellen, dass bei monatlichen Composer-Updates keine verwundbaren Pakete eingespielt werden. Das reduziert das Risiko, bei Security-Audits durch den Kunden negativ aufzufallen.

Repository-Verwaltung direkt per CLI

Bisher musste man für neue Repositories die composer.json manuell bearbeiten oder composer config verwenden. Ab Version 2.9 gibt es dafür neue, dedizierte CLI-Befehle:

composer repo add myagency-extensions vcs github.com/myagency/typo3-extensions
composer repo add company-satis composer composer.mycompany.com
composer repo list
composer repo remove myagency-extensions

Repositories werden jetzt als JSON-Array mit name-Properties gespeichert – das macht die Verwaltung übersichtlicher und ermöglicht gezieltes Ansprechen einzelner Repos. Mit --after lässt sich die Reihenfolge der Repositories direkt beim Hinzufügen festlegen.

Lock-File-Konflikte automatisch auflösen

Wer im Team arbeitet, kennt das Problem vielleicht: Nach einem Merge hat die composer.lock Konflikte. Composer 2.9 kann einfache Konflikte (nur bei content-hash) automatisch auflösen.

Ein composer update --lock oder ein normales Update ignoriert die Git-Konfliktmarker und schreibt eine saubere Lock-Datei. Das spart manuelle Konfliktlösungen und reduziert Fehlerquellen im Deployment-Prozess.

Wichtig: Die automatische Konfliktlösung funktioniert nur bei einfachen Konflikten (content-hash). Bei komplexeren Merge-Konflikten in den Paket-Definitionen selbst ist weiterhin manuelle Auflösung nötig.

Für TYPO3-Agenturen mit mehreren Entwicklern am gleichen Projekt ist das eine echte Arbeitserleichterung.

Update auf Composer 2.9

Das Update ist unkompliziert:

composer self-update
composer --version  # sollte 2.9.x anzeigen

DDEV-Projekte: DDEV-Nutzer erhalten Composer 2.9 vermutlich automatisch mit einem der nächsten DDEV-Updates.

Fazit

Composer 2.9 bringt keine revolutionären Features, aber drei solide Verbesserungen für den Projektalltag. Die automatische Sicherheitsprüfung ist besonders für Agenturen relevant, die Client-Projekte pflegen. Die CLI-Repository-Verwaltung spart Zeit bei wiederkehrenden Aufgaben. Und die Lock-File-Konfliktlösung reduziert Reibung im Team-Workflow.

Für TYPO3-Projekte, die bereits mit Composer arbeiten, ist das Update unkompliziert – und die neuen Features funktionieren out-of-the-box. Wer seine Deployment-Workflows weiter optimieren will, findet im Deployment-Webinar praktische Strategien für GitHub Actions und Deployer in TYPO3-Projekten.

Quelle: Composer 2.9 Release-Ankündigung