如何验证Composer下载包的完整性以防篡改？（checksums）

Composer 通过 SHA-256 哈希与 GPG 签名双重机制保障包完整性：安装时自动校验 composer.lock 中的 dist.shasum，不匹配则报错；生产环境可启用 Packagist 元数据 GPG 签名验证防投毒；支持手动下载比对哈希进行离线审计。

Composer 本身不直接提供类似 npm audit 或 pip verify 那样的内置命令来主动校验已安装包的完整性，但它通过多层机制保障下载包未被篡改——核心依赖的是 签名验证（Sigs）和哈希校验（Checksums），且这些验证在安装/更新时默认自动执行，无需手动触发。

Composer 使用的 checksum 类型：SHA-256 和签名（GPG）

Composer 官方仓库（packagist.org）为每个包版本维护两套完整性保障：

• SHA-256 哈希值：记录在 composer.lock 文件中，对应每个包的 dist.shasum 字段（如 "shasum": "a1b2c3..."），这是压缩包（zip/tar）解压前的原始哈希；
• GPG 签名：Packagist 对元数据（如 packages.json）进行 GPG 签名，Composer 启用 secure-http 和 cafile（或系统 CA）后会验证 HTTPS 传输链，并在启用 signing-key 时校验元数据签名（需额外配置）。

如何确认 checksum 已生效？检查 composer.lock 和安装日志

Composer 在运行 composer install 或 composer update 时，会自动比对远程包的 SHA-256 与 composer.lock 中记录的 shasum。若不一致，会中止安装并报错：

• 查看 composer.lock：打开该文件，搜索某个包的 dist 段，确认存在 "shasum" 字段且非空；
• 观察安装输出：成功时通常显示 Installing vendor/package (v1.2.3): Downloading (100%)，无警告即表示校验通过；
• 故意破坏校验（测试用）：修改 composer.lock 中某包的 shasum 为错误值，再运行 composer install，会明确提示 Signature mismatch, package is corrupted 或类似错误。

增强校验：启用 Packagist 元数据签名（推荐生产环境）

Packagist 自 2021 年起支持 GPG 签名元数据，Composer 可验证其真实性，防止仓库投毒（如恶意包被注入搜索结果）。启用方式如下：

AISEO AI Content Detector

AISEO推出的AI内容检测器

82

查看详情

• 确保 Composer 版本 ≥ 2.2（composer --version）；
• 运行：composer config -g repo.packagist.org.allow_ssl_downgrade false（禁用降级）；
• 运行：composer config -g repo.packagist.org.type composer（确保使用标准 composer 类型）；
• 签名密钥已预置，无需手动导入 — Composer 默认信任 Packagist 的公钥（位于 https://packagist.org/keys.json）。

启用后，Composer 会在拉取 packages.json 时自动校验 GPG 签名，失败则拒绝加载包列表。

手动验证单个包（应急或审计场景）

若需离线复核某包完整性（例如安全审计），可按以下步骤操作：

• 从 composer.lock 获取目标包的 dist.url 和 shasum；
• 用 wget 或 curl 下载该 URL 对应的 zip/tar 包（注意：URL 可能含临时 token，过期需重新生成）；
• 执行：sha256sum downloaded-package.zip，比对输出是否与 shasum 字段完全一致；
• （可选）校验 GPG 签名：若包作者提供了签名文件（如 .asc），可用 gpg --verify 验证，但 Packagist 托管包一般不提供此层签名。

以上就是如何验证Composer下载包的完整性以防篡改？（checksums）的详细内容，更多请关注php中文网其它相关文章！