Если вы обнаружили проблему безопасности, не создавайте публичный Issue.

1. Опишите проблему максимально конкретно: затронутые версии, шаги воспроизведения, возможное влияние.
2. Отправьте сообщение через Security Advisories репозитория.
3. Дождитесь подтверждения получения — обычно в течение 72 часов.

Библиотека хранит определения сервисов в памяти процесса. Она не выполняет:

• автозагрузку классов по строковым именам;
• сериализацию/десериализацию контейнера;
• сетевые вызовы.

Типичные риски связаны с передачей недоверенных строк в идентификаторы сервисов и обработкой исключений — для этого есть тесты в tests/Security/.

• Не передавайте в set() / get() идентификаторы из недоверенного ввода без валидации.
• Не регистрируйте фабрики, выполняющие произвольный код из внешних источников.
• Обновляйте зависимости (composer audit) и следите за advisory для psr/container.