composer 2.5+ 内置 audit 命令,基于 composer.lock 本地比对官方安全数据库,无需插件或网络上传,支持 jsON 输出、按严重级筛选、忽略误报及查看修复版本,并需升级后验证闭环。
Composer 从 2.5 版本起内置了 audit 命令,能快速识别项目依赖中已知的安全漏洞,无需额外安装插件或调用第三方服务。它直接对接 Composer 官方安全通告数据库(由 php Security Advisory database 维护),结果权威、响应及时、执行轻量。
启用 audit 命令的前提条件
确保你使用的是 Composer 2.5 或更高版本:
- 运行
composer --version检查版本;低于 2.5 需先升级:composer self-update - 项目必须已有
composer.lock文件(audit基于 lock 文件分析实际安装的版本) - 无需配置 API Token,不上传任何代码或私有信息,纯本地比对
快速扫描:基础用法与输出解读
在项目根目录下执行:
composer audit默认输出简洁格式,列出所有存在已知漏洞的包及其严重等级(low / medium / high / critical)。例如:
Found 2 advisories affecting 3 packages +----------------+---------+------------------+-----------------------------------+ | package | version | advisory ID | title | +----------------+---------+------------------+-----------------------------------+ | guzzlehttp/guzzle | 7.4.5 | composer-advisory-12345 | SSRF vulnerability in UriTemplate | | monolog/monolog | 2.8.0 | composer-advisory-67890 | Unsafe deserialization via custom handlers | +----------------+---------+------------------+-----------------------------------每行代表一个真实影响当前安装版本的安全问题,不是“潜在风险”或“未来可能”——是已确认可利用的漏洞。
按需深入:常用选项与实用技巧
根据排查阶段灵活选用参数:
-
composer audit--format=json -
composer audit--severity=high,critical -
composer audit--ignore=vendor/package-name -
composer audit--fixed
修复漏洞:不只是升级,还要验证闭环
发现漏洞后,不能只靠 composer update 盲升:
- 优先查看 advisory ID 对应的详情页(如
https://www.php.cn/link/bf62dcc9f49c25719a42bd9e2b261f40/tree/main/composer-advisory-12345),确认影响范围和补丁版本 - 针对性升级:例如漏洞在
guzzlehttp/guzzle ,则执行 <code>composer update guzzlehttp/guzzle --with-dependencies - 升级后务必重新运行
composer auditcomposer.lock中对应包版本是否已更新 - 若无法直接升级(如依赖链卡住),考虑使用
composer require vendor/package:fixed-version --update-with-dependencies强制指定版本
安全不是一次性动作。把 composer audit
以上就是如何优雅地处理Composer项目中的安全漏洞?(audit命令实战)的详细内容,更多请关注php中文网其它相关文章!