Salut et bonne année à toi 
Déjà merci pour ton retour 
kroomba ou un autre dont le repo est publique c’est comme tu veux
Aiodemo me semblait plus adapté pour apprendre car la « logique business » est très simple. Dans les autres on peut vite se perdre dans des détails de l’implémentation du plugin et du coup perdre le focus sur la partie « core »
C’est vrai qu’il utilise packages.json du core; quelque part ca montre qu’on peut combiner les options comme on veut, mais je peux le mettre à jour pour qu’il utilise la lib pyenv.
Oui mais plus pour très longtemps 
Mon objectif est de pouvoir mettre le dossier vendor dans le .gitignore et de n’avoir que mon composer.json et composer.lock dans le repo et déployé avec le plugin => ainsi dependabot peut mettre à jour les dépendances correspondantes tout seul (il met à jour le .lock; le .json étant fixé durant le dev pour être sur de la compatibilité du moins si tout le monde respecte les règle de versioning major.minor.fix)
Pour cela il fallait pouvoir lancer composer i (et surtout pas composer u car risque de breaking change) au moment du téléchargement et cela sera possible en 4.5: Plugin post installation hook
Ce point mériterait un sujet dédié, je me note un rappel pour détailler plus.
A noter que si les dépendances sont installées via le core avec le fichier packages.json, il est déjà possible de faire installer des dépendances composer; l’inconvénient selon moi c’est
- l’impossibilité de brancher un dependabot dessus et
- que le core fait lui même le
composer uet donc risque de breaking change