composer audit 可检测项目依赖中的安全漏洞,通过分析 composer.lock 文件并与安全数据库比对,识别存在风险的 PHP 包。
composer audit 命令可以帮助开发者识别项目中依赖包存在的已知安全漏洞。它通过检查 composer.lock 文件中的依赖项,并与公开的安全数据库进行比对,快速发现哪些包存在已被披露的安全问题。
自动检测依赖中的已知漏洞
当运行 composer audit 时,Composer 会分析当前项目的 composer.lock 文件,提取所有已安装的 PHP 包及其版本。然后将这些信息与官方维护的安全通告数据库(如 GitHub Security Advisory Database)进行匹配,查找是否存在已报告的安全漏洞。
例如,如果你使用了一个包含远程代码执行或反序列化漏洞的旧版本库,该命令会在终端中列出具体问题,包括漏洞等级(低、中、高、严重)、CVE 编号和建议修复版本。
支持分层扫描:仅生产或开发依赖
你可以选择性地扫描特定类型的依赖:
- composer audit --with-dependencies:不仅检查直接依赖,也检查间接引入的嵌套依赖
- composer audit --only=require:只关注生产环境依赖
- composer audit --only=require-dev:仅检查开发阶段使用的包
这种灵活性有助于在不同场景下评估风险,比如 CI 流水线中可设置仅允许生产依赖无高危漏洞才能通过构建。
集成到开发流程提升安全性
这个命令适合加入日常开发和部署流程中。可以在提交代码前运行,或在 CI/CD 中作为质量门禁的一部分。一旦发现严重漏洞,团队可以及时升级受影响的包到安全版本。
它不会自动修复问题,但会给出明确提示,告诉你哪个包需要更新以及推荐版本。配合 composer update vendor/package 可以有针对性地修复。
基本上就这些。composer audit 不复杂但容易忽略,定期使用能有效降低项目因第三方库引发的安全风险。
