Composer 2.5+ 内置 audit 命令,基于 composer.lock 本地比对官方安全数据库,无需插件或网络上传,支持 JSON 输出、按严重级筛选、忽略误报及查看修复版本,并需升级后验证闭环。
Composer 从 2.5 版本起内置了 audit 命令,能快速识别项目依赖中已知的安全漏洞,无需额外安装插件或调用第三方服务。它直接对接 Composer 官方安全通告数据库(由 PHP Security Advisory Database 维护),结果权威、响应及时、执行轻量。
确保你使用的是 Composer 2.5 或更高版本:
composer --version 检查版本;低于 2.5 需先升级:composer self-update
composer.lock 文件(audit 基于 lock 文件分析实际安装的版本)在项目根目录下执行:
composer audit
默认输出简洁格式,列出所有存在已知漏洞的包及其严重等级(low / medium / high / critical)。例如:
Found 2 advisories affecting 3 packages +----------------+---------+------------------+-----------------------------------+ | package | version | advisory ID | title | +----------------+---------+------------------+-----------------------------------+ | guzzlehttp/guzzle | 7.4.5 | composer-advisory-12345 | SSRF vulnerability in UriTemplate | | monolog/monolog | 2.8.0 | composer-advisory-67890 | Unsafe deserialization via custom handlers | +----------------+---------+------------------+-----------------------------------
每行代表一个真实影响当前安装版本的安全问题,不是“潜在风险”或“未来可能”——是已确认可利用的漏洞。
根据排查阶段灵活选用参数:
composer audit --format=json:输出 JSON,适合 CI/CD 流水线解析或集成到监控系统composer audit --severity=high,critical:只显示高危及以上级别,聚焦紧急修复项composer audit --ignore=vendor/package-name:临时忽略某个包(如已确认为误报或暂无法升级),但建议加注释说明原因composer audit --fixed:显示哪些漏洞已在更新后的版本中被修复(辅助评估升级收益)发现漏洞后,不能只靠 composer update 盲升:
https://www.php.cn/link/bf62dcc9f49c25719a42bd9e2b261f40/tree/main/composer-advisory-12345),确认影响范围和补丁版本guzzlehttp/guzzle ,则执行 <code>composer update guzzlehttp/guzzle --with-dependencies
composer audit,确认该漏洞消失;同时检查 composer.lock 中对应包版本是否已更新composer require vendor/package:fixed-version --update-with-dependencies 强制指定版本安全不是一次性动作。把 composer audit 加入日常开发流程(比如 pre-commit hook 或每日 CI 任务),配合锁文件管理,就能让 Composer 项目的安全水位持续可见、可控、可追溯。
以上就是如何优雅地处理Composer项目中的安全漏洞?(audit命令实战)的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
991
收藏
取消收藏
