Packagist standardmäßig als "Update-Server" aktivieren
Seit Version 2 nutzt Composer "Canonical Repositories"
Das bedeutet, dass Composer immer erst die "Custom Repositories" (bspw. QUIQQER Updateserver) durchsucht, bevor Packagist angefragt wird.
Sobald das Paket in einem Repository gefunden wird, werden die anderen Repositories nicht durchsucht.
Mehr dazu: https://getcomposer.org/doc/articles/repository-priorities.md#repository-priorities
Als unerfahrener (QUIQQER) Entwickler würde ich mich sehr wundern, wenn ich ein Paket von Packagist require und dieses nicht gefunden werden kann. Google würde mir dann vielleicht verraten, dass ich den "packagist.org": false Eintrag aus der composer.json entfernen muss. Beim Update würde QUIQQER diesen allerdings wieder setzen und ich würde mich noch mehr wundern.
Ich fände es daher sinnvoll Packagist standardmäßig zu aktivieren.
Da immer zuerst die QUIQQER-eigenen Paketserver geprüft werden, sollte hier auch kein Sicherheitsrisiko bestehen.
Was ist eure Meinung dazu?