composer如何验证一个包的签名

Composer自2.0起支持包签名验证，需启用signature-verification并添加可信公钥，通过composer validate-sig检查签名状态，确保安装的包来自可信源且未被篡改。

Composer 从 2.0 版本开始支持对已安装的包进行签名验证，以确保下载的代码来自可信来源且未被篡改。要验证一个包的签名，需要该包在发布时使用了 Signed Dist 功能（即通过 composer sign 命令签名），并且你本地启用了签名验证。

1. 确保启用签名验证

默认情况下，Composer 不强制验证签名。你需要在配置中开启验证策略：

• composer config --global minimum-stability stable
• composer config --global signature-verification true

启用后，Composer 会在安装或更新包时自动检查其签名是否有效。

2. 检查已安装包的签名状态

运行以下命令可以查看当前项目中所有包的签名验证结果：

composer validate-sig

该命令会输出每个已安装包的签名信息，包括：

• 是否签名
• 签名是否有效
• 签名者公钥指纹

3. 手动验证单个包的签名

如果你想手动验证某个特定包的签名，可以进入其 vendor 目录并检查 composer.json 中的 dist 部分是否有 signature 字段。

例如：

NameGPT名称生成器

免费AI公司名称生成器，AI在线生成企业名称，注册公司名称起名大全。

0

查看详情

"dist": {
    "type": "zip",
    "url": "...",
    "reference": "...",
    "shasum": "...",
    "signature": "..."
}

如果存在 signature 字段，Composer 在安装时就会尝试验证它。

4. 添加可信公钥

为了验证签名，你需要拥有签名者的公钥。公钥通常由包维护者提供（如放在官网或 GitHub）。

将公钥保存为文件（如 vendor-public.key），然后添加到 Composer 的信任密钥列表：

composer keys add /path/to/vendor-public.key

添加后，Composer 就能用这个公钥验证对应签名。

基本上就这些。只要包发布了签名版本，并且你配置了正确的信任链，Composer 就能帮你防止恶意代码注入。不复杂但容易忽略。

以上就是composer如何验证一个包的签名的详细内容，更多请关注php中文网其它相关文章！