Hallo Harald und Uwe,
das war alles total hilfreich, vielen Dank!
Ich nutze auch schon composer aber eigentlich nur zum Entwickeln und
baue dann den heruntergeladenen Kram fest in "mein Produkt" ein - im
Unterschied zum üblichen Verfahren nicht in den Webroot (public/)
sondern außerhalb (src/). Klar muß ich dann immer nachverfolgen welche
Sicherheitsprobleme bekannt sind aber wenn ich immer alles automatisch
updaten lassen würde müßte ich das genauso tun - für composer und
seine zig Abhängigkeiten die er schon mitbringt.
Ich hab zum Glück bisher nur drei Libraries die ich einsetze:
PHPMailer, tFPDF und HTMLPurifier. Der Rest sind ein paar PHP modules.
JavaScript kommt mir auf absehbare Zeit nicht ins Haus :-) - ich
versteh nicht genug um damit sicher umzugehen, vor allem bin ich sehr
skeptisch bei den ganzen gegenseitig abhängigen libraries, die Moden
die da so kursieren und eingefangene Problemen durch Inkonsistenzen
zwischen den APIS der Dinger.
Irgendwann bald will ich meinen Code auditieren lassen (hättet Ihr
eine Empfehlugn durch wen? SySS Tübingen?) und wenn man Pakete
inkludiert müßte man eigentlich jedes dieser Pakete mit auditieren
lassen. Soviel Geld hab ich nich :)
Danke nochmal!
--
Schönen Gruß
Andreas