composer install 时到底验不验签名?
默认不验,哪怕包作者上传了 GPG 签名,composer install 也完全跳过——除非你手动开启。这是最常被误解的一点:很多人以为“Packagist 显示 verified”就等于本地安装时校验过了,其实不是。那个标签只表示作者上传时附带了有效签名,Composer 本身不会自动验证它。
- 运行
composer config --global security.signature-verification查看当前全局设置,返回true才生效 - 临时启用:加
--verify-signatures参数,例如composer install --verify-signatures - 失败时会明确报错:
Signature mismatch或Missing signature for vendor/package - 注意:签名只覆盖
dist(zip/tar.gz),source(git clone)方式不参与校验
怎么手动确认某个包真有签名且可信?
Composer 不提供一键查“这个包有没有被作者签名”的命令,得靠交叉验证。重点不是看 Packagist 页面上的 Source 链接,而是进 github/gitlab 仓库亲自核对 tag 签名。
- 先去 Packagist 页面点开
Source链接,确保它指向作者主控的仓库(比如monolog/monolog指向<a href="https://www.php.cn/link/900245b439fc98341ca28d3323241e7d">https://www.php.cn/link/900245b439fc98341ca28d3323241e7d</a>,而不是 fork 或镜像) - 进该仓库的
Releases页面,找对应版本 tag(如v3.5.0),点击进入后看是否有Verified标签 - 本地克隆后运行:
git tag -v v3.5.0;输出含Good signature且密钥指纹与作者官网公布的一致,才算可信 - 别用
dev-main或dev-develop分支安装,这些没签名,内容随时变
composer.lock 里的 shasum 是什么?它够用吗?
composer.lock 中每个包的 dist.shasum 字段是压缩包原始 SHA-256 哈希,Composer 在下载后会自动比对。这层校验默认开启、不可绕过,是防篡改的第一道防线。
- 它只保“下载下来没被中间人改”,不保“包本身是否恶意”——比如作者自己投毒,或抢注废弃包名,
shasum依然匹配 - 修改
composer.lock里某包的shasum为错误值,再跑composer install,会立刻报错,说明机制在工作 - 生产环境建议额外启用 Packagist 元数据签名验证(需 Composer ≥ 2.2):
composer config -g repo.packagist.org.type composer,之后拉取packages.json时会自动验 GPG 签名,防仓库投毒
为什么 composer require laravel/framework 可能拉到假包?
根本原因是 Packagist 不强制绑定 GitHub 账号或二次验证邮箱,只要注册邮箱能收信,就能发布任意 vendor/name。攻击者常用两种手法:
- 抢注废弃包:原作者
abandon后,新账号立即发布同名包,composer require foo/bar会默认装最新版(哪怕你锁的是^1.0,也可能升到恶意的1.0.5) - 形近包投毒:
laravel/framework-fake、laravel-framwork这类名字,靠开发者手误引入,shasum和签名都“合法”,但代码完全是恶意的
这时候单看 composer show 或 Packagist 页面毫无意义,必须人工核对仓库 owner、release tag 签名、支持链接一致性。没有自动化捷径,这点最容易被忽略。