Далее, от лица клиента, мне надо как-то подтягивать с помощью композера изменения. Как это сделать?
php composer.phar create-project --keep-vcs --stability=dev vendor/package ./localhost
В проекте останется .git и вы сможете делать git pull из vendor/package репозитория
Но так делать не рекомендую. Вместо этого лучше форкнуть репозиторий
vendor/package и работать уже со своим.
git clone git@github.com:Vasiliy_M/package.git ./localhost
cd ./localhost
git remote add upstream git@github.com:vendor/package.git
git fetch upstream
git merge upstream/master
create-project - это всего лишь сахар для копирования скелета приложения и автоматического composer install. В данном случае он вам не нужен
