Полное руководство по безопасной установке Composer
Установка Composer без риска: проверка хешей и GitHub-версии

Composer: как избежать подмены установщика – 2 проверенных метода

Старт! Честный VDS/VPS, на котором «Лунная База» живет уже 20+ лет

Задумываетесь о том, чтобы поднять свой pet-проект, сайт клиента или настроить окружение для разработки? Уже пора подумать, где арендовать железо.

Лунная База хостится на FirstVDS более 20 лет. Мыслей о том, чтобы перебраться на другой хостинг, не было ни разу (хотя опыт работы с другими вариантами, конечно, есть).

Бывали разные ситуации, но они бывают на любом железе. Главное, что нужно понять: здесь нет маркетинговой шелухи и сказок про «мы всё сделаем за вас». Если вы берете VDS — вам дают полный root, возможность накатить любую ОС и не лезут в ваши конфиги.

Если в саппорт написать с вопросом по вашему коду и получить ответ: «Читайте документацию и разбирайтесь сами» или «Обратитесь к профильному специалисту» — это не повод обижаться. Это повод углубить свои знания в DevOps и сайтостроении! Бегите от тех, кто пообещает: «Мы всё чиним и настраиваем абсолютно бесплатно!». Никто никогда не работает «по доброте душевной» в ущерб себе, а бесплатный сыр в администрировании обычно заканчивается сломанной базой данных.

Что по факту: Гибкое масштабирование ядер и RAM, экономия по сравнению с физическими серверами и адекватная панель ispmanager, если она вам нужна.



Безопасная установка Composer: проверка контрольных сумм и альтернативные методы

При установке Composer важно учитывать, что стандартный скрипт установки содержит контрольную сумму (checksum), которая меняется при любом изменении кода. Это означает, что полагаться на него для долгосрочного использования небезопасно. В этом руководстве разберём два альтернативных способа установки, которые обеспечивают проверку целостности файлов и точное соответствие версий.

Метод 1: Установка с проверкой контрольной суммы (UNIX)

Если вы работаете в UNIX-среде, можно использовать следующий скрипт, который автоматически проверяет хеш установщика перед запуском:

#!/bin/sh

EXPECTED_CHECKSUM="$(php -r 'copy("https://composer.github.io/installer.sig", "php://stdout");')"
php -r "copy('https://getcomposer.org/installer', 'composer-setup.php');"
ACTUAL_CHECKSUM="$(php -r "echo hash_file('sha384', 'composer-setup.php');")"

if [ "$EXPECTED_CHECKSUM" != "$ACTUAL_CHECKSUM" ]
then
    >&2 echo 'ERROR: Invalid installer checksum'
    rm composer-setup.php
    exit 1
fi

php composer-setup.php --quiet
RESULT=$?
rm composer-setup.php
exit $RESULT

Как это работает?

  1. Скрипт загружает ожидаемую контрольную сумму с официального источника.
  2. Скачивает установщик Composer.
  3. Сравнивает хеш скачанного файла с эталонным.
  4. Если хеши не совпадают — установка прерывается с ошибкой (exit 1).
  5. Если проверка пройдена — Composer устанавливается, а временные файлы удаляются.

Код возврата:

  • 0 — успешная установка.
  • 1 — ошибка (неверная контрольная сумма или сбой загрузки).

Метод 2: Установка конкретной версии через GitHub

Если вам нужна точная, неизменяемая версия установщика, можно загрузить его напрямую из репозитория Composer на GitHub, указав хеш коммита.

wget https://raw.githubusercontent.com/composer/getcomposer.org/f3108f64b4e1c1ce6eb462b159956461592b3e3e/web/installer -O - -q | php -- --quiet

Как это работает?

  • Установщик берётся не с основного сайта, а из истории Git, что гарантирует неизменность кода.
  • Хеш коммита (f3108f...) можно заменить на актуальный, проверив последние коммиты здесь: https://github.com/composer/getcomposer.org/commits/main

Важно:

Этот метод предполагает доверие к GitHub, но исключает риск подмены установщика после публикации.

Как проверить правильность безопасной установки Composer

Оба метода обеспечивают безопасную установку Composer, но подходят для разных сценариев:

  • Проверка контрольной суммы — для регулярного использования с автоматическими проверками.
  • Фиксированная версия из GitHub — для точного воспроизведения окружения (например, в CI/CD).

Выбирайте подходящий вариант в зависимости от ваших задач!

Где проверить PGP-подпись установщика Composer

Если нужна максимальная безопасность, можно дополнительно проверить PGP-подпись установщика (см. официальную документацию).

Перевод с английского:
getcomposer.org

Самый честный хостинг за 20+ лет существования Лунной Базы

Задумываешься о том, чтобы поднять свой сайт в Интернете? Уже пора подумать о том, какой хостинг выбрать?

Лунная База хостится 20+ лет на firstDVS. При этом, мыслей о том, чтобы перебраться на другой хостинг не было. (Но, при этом есть опыт работы с другими вариантами.)

Бывали с firstDVS разные ситуации, но, они бывают на всех хостингах. Единственное, что тут важно понять, - это то, что никто ничего тебе не будет впаривать... Но, и работать за тебя тоже никто не станет. Если в саппорт ответили: «Читайте по ссылке и разбирайтесь сами...» или вообще «Обратитесь за помощью к специалисту», - это повод углубить свои знания в области сайтостроения, а не бежать к тем, что пообещают: «Мы всё чиним и всё делаем за своих клиентов абсолютно бесплатно!» Никто никогда ничего ни за кого "по доброте душевной" не делал, не делает и не будет делать!

Старт! Горячий старт на просторы интернета
Старт! Горячий старт на просторы интернета
Старт! Меню