Hallo Harald und Uwe,
das war alles total hilfreich, vielen Dank!
Ich nutze auch schon composer aber eigentlich nur zum Entwickeln und baue dann den heruntergeladenen Kram fest in "mein Produkt" ein - im Unterschied zum üblichen Verfahren nicht in den Webroot (public/) sondern außerhalb (src/). Klar muß ich dann immer nachverfolgen welche Sicherheitsprobleme bekannt sind aber wenn ich immer alles automatisch updaten lassen würde müßte ich das genauso tun - für composer und seine zig Abhängigkeiten die er schon mitbringt.
Ich hab zum Glück bisher nur drei Libraries die ich einsetze: PHPMailer, tFPDF und HTMLPurifier. Der Rest sind ein paar PHP modules.
JavaScript kommt mir auf absehbare Zeit nicht ins Haus :-) - ich versteh nicht genug um damit sicher umzugehen, vor allem bin ich sehr skeptisch bei den ganzen gegenseitig abhängigen libraries, die Moden die da so kursieren und eingefangene Problemen durch Inkonsistenzen zwischen den APIS der Dinger.
Irgendwann bald will ich meinen Code auditieren lassen (hättet Ihr eine Empfehlugn durch wen? SySS Tübingen?) und wenn man Pakete inkludiert müßte man eigentlich jedes dieser Pakete mit auditieren lassen. Soviel Geld hab ich nich :)
Danke nochmal!