推荐使用 Roave/SecurityAdvisories 阻止安装含漏洞的依赖,并通过 composer.json 定义 "security-check" 脚本运行 cve-check 检测已知 CVE;结合 PHPStan 与安全扩展分析代码中不安全函数调用,将检查集成到 CI/CD 确保定期执行。
编写一个 Composer 脚本来检测代码中的安全漏洞,核心是利用现有的安全分析工具并将其集成到项目的 composer.json 中。最常用且官方推荐的工具是 SensioLabs Security Checker 或其现代替代品 Roave/SecurityAdvisories 和 PHPStan + security-checker 扩展。以下是具体实现方法。
安装安全检测依赖
在项目中添加用于检测漏洞的工具。推荐使用 roave/security-advisories,它不会引入任何功能,但会阻止你安装已知存在安全问题的依赖包。
这个包的作用是声明冲突(conflict)规则,一旦你的依赖树中包含已知有漏洞的版本,Composer 安装或更新时就会报错。
使用命令行工具进行主动扫描
如果你希望主动运行安全检查,可以使用 localheinz/composer-security-checker 或直接使用 symfony/security-checker(已弃用),目前更推荐使用 phpsecurity/cve-check 或集成 CI 工具。
安装 CLI 检查工具示例:
composer require --dev phpsecurity/cve-check# 或者使用基于 Symfony 的封装
composer require --dev localheinz/composer-security-checker
定义 Composer 脚本
编辑 composer.json,在 "scripts" 部分添加自定义命令:
"security-check": "cve-check"
}
现在你可以通过以下命令运行安全检测:
该命令会分析 composer.lock 文件,检查已安装的依赖是否存在已知 CVE 漏洞。
结合 PHPStan 增强安全性分析
除了依赖层面的漏洞,你还可检测代码逻辑中的安全问题。使用 phpstan/phpstan 加上安全扩展:
创建 phpstan.neon 配置文件,并启用相关规则来检测不安全的函数调用(如 exec, system, unserialize 等)。
然后在 composer.json 中添加脚本:
"analyse": "phpstan analyse src",
"security-check": "cve-check"
}
运行:composer analyse 可发现潜在的安全编码问题。
基本上就这些。通过组合依赖约束、自动化检查工具和静态分析,你可以构建一个有效的 Composer 安全检测流程。不复杂但容易忽略的是定期执行这些检查,建议将其集成到 CI/CD 流程中。
