Mathieu Desnouveaux

Composer Best Practice in 2025

Présentation par Nils Adermann sur les bonnes pratiques et nouveautés de Composer en 2025 à l'API Platform Conference

Sketchnote détaillant les meilleures pratiques Composer en 2025. Le schéma aborde la mise à jour depuis Composer 1, qui est déprécié, la sécurité de la supply chain contre les attaques en ligne avec appel à financer cette sécurité. Les nouveautés incluent SemVer (gestion des versions majeures, mineures, contraintes), Forking (non temporaire, problématique à long terme, dernier recours avec nom de paquet), Partial Update (mise à jour sélective avec dépendances mixtes, pull-only), Bump/Audit/Monorepo. Les conseils pratiques incluent l'utilisation de repository privé, la mise à jour fréquente et automatique des dépendances.

Cette sketchnote a été réalisée lors de l'API Platform Conference 2025. Elle illustre la présentation "Composer Best Practice in 2025" donnée par Nils Adermann, co-créateur de Composer, qui partage les meilleures pratiques et nouveautés du gestionnaire de dépendances PHP.

Contenu de la présentation

La présentation commence par un point d'actualité important : Composer 1 shutdown, annonçant la fin du support de la version 1 et encourageant la migration vers Composer 2. Un enjeu majeur est abordé : la supply chain security (sécurité de la chaîne d'approvisionnement) face aux attaques en ligne croissantes. Nils Adermann appelle la communauté à financer activement la sécurité de Composer et Packagist.

Les nouveautés "What's New" incluent plusieurs fonctionnalités essentielles :

  • SemVer : gestion améliorée des versions majeures, mineures et des contraintes de versions
  • Forking : possibilité de créer des forks de packages, mais présenté comme solution non temporaire, problématique à long terme et à utiliser en dernier recours avec un nom de paquet distinct
  • Partial Update : mise à jour sélective permettant de mettre à jour seulement certaines dépendances (mix + pull-only)
  • Bump/Audit/Monorepo : nouvelles commandes pour incrémenter les versions, auditer la sécurité et gérer les monorepos

Côté Packagist, Nils insiste sur deux points : les packages ne contiennent que des métadonnées (pas de code uploadé) pour la sécurité et l'efficacité.

Les bonnes pratiques conseillées sont :

  • Utiliser un repository privé pour les dépendances internes
  • Mettre à jour les dépendances fréquemment et idéalement de manière automatique
Thèmes:
🛠️ Tools 🐘 PHP 🔒 Security
Événement:
🎤 API Platform Conference
Source: Nils Adermann
🔗 Source
Publié le 29 novembre 2025