Composer从2.5版本起提供composer audit命令,用于检测项目依赖中的已知安全漏洞,基于FriendsOfPHP/security-advisories数据库扫描,支持检查全部依赖或仅lock文件,并可输出JSON格式;执行后会列出存在风险的包、漏洞描述、影响范围、建议升级版本及CVE编号;发现漏洞后可通过更新指定包、批量更新或修改composer.json锁定安全版本来修复,必要时移除高危依赖;建议在CI/CD中集成该命令,定期运行并结合composer outdated评估更新优先级,从而实现持续的安全管理。
Composer 本身不直接检测或修复依赖包的安全漏洞,但它可以与外部工具集成来实现这一目标。PHP 社区中常用的方式是结合 SensioLabs Security Checker 或更现代的 PHP Security Advisories Database 来扫描项目依赖是否存在已知安全问题。
使用 composer audit 检测漏洞(推荐方式)
从 Composer 2.5 版本开始,官方引入了内置命令 composer audit,用于检查项目中依赖包是否存在已知的安全漏洞。
该功能基于 FriendsOfPHP/security-advisories 数据库,这是一个汇总了主流 PHP 包已知漏洞的开源数据库。
运行以下命令即可扫描:
-
composer audit—— 检查整个项目的依赖 -
composer audit --lock—— 仅检查 lock 文件中的精确版本 -
composer audit --format=json—— 输出 JSON 格式结果,便于自动化处理
查看并理解报告内容
执行 composer audit 后,Composer 会列出所有存在安全风险的依赖包,包括:
- 漏洞描述
- 受影响的版本范围
- 建议升级到的安全版本
- 对应的 CVE 编号(如有)
例如输出可能显示某版本的 monolog/monolog 存在远程代码执行风险,建议升级到 2.10.0 以上版本。
修复安全漏洞的方法
发现漏洞后,可通过以下方式修复:
-
更新依赖版本:运行
composer update vendor/package-name升级到安全版本 -
批量更新:若多个包需更新,可运行
composer update并确保composer.json中版本约束允许升级 -
锁定安全版本:修改
composer.json中的版本号,明确指定安全版本,如"symfony/http-foundation": "^5.4.10" - 移除不必要的高危依赖:如果某个包长期未维护且存在严重漏洞,考虑替换或删除
集成到开发流程中
为持续保障安全,建议将安全检查融入日常流程:
- 在 CI/CD 流程中添加
composer audit步骤,失败时中断构建 - 定期运行审计命令,比如每周一次
- 使用
composer outdated查看可更新的包,结合 audit 判断优先级
基本上就这些。Composer 的 audit 功能让 PHP 项目安全管理变得简单直接,无需额外工具即可及时发现并处理依赖风险。
