Composer 2.5+ 内置的 composer security:check 命令是目前最直接、集成度高且持续维护的安全检查方式,自动扫描 composer.lock 并比对 Symfony 安全公告数据库。
你可以使用 SensioLabs Security Checker(已归档)的替代工具,比如官方推荐的 Composer Security Plugin 或 PHP Security Checker,但目前最直接、集成度最高且持续维护的方式是启用 Composer 内置的安全检查功能。
使用 Composer 自带的 security:check 命令
从 Composer 2.5 开始,composer security:check 成为原生命令(无需额外插件),它会自动扫描 composer.lock 中所有已安装依赖,比对 Symfony Security Advisory Database(由 Symfony 团队维护,覆盖大量 PHP 包)。
- 确保你使用的是 Composer 2.5+:
composer --version - 在项目根目录运行:
composer security:check - 若发现漏洞,会列出包名、版本、CVE 编号(如有)、严重程度和简要描述
- 该命令默认离线检查失败时才回退到在线数据库,隐私友好
升级到安全版本的依赖
发现漏洞后不能只看报告,关键是要修复:
- 优先运行
composer update vendor/package-name升级到已修复的版本(查看报告中的建议版本或对应 CVE 的补丁说明) - 如需批量升级多个有漏洞的包,可结合
composer outdated --security查看哪些包存在安全更新 - 注意:某些旧版包可能已无维护,需考虑替换为更活跃的替代方案(如用
league/flysystem替代弃用的flysystemv1)
在 CI/CD 中自动检查(例如 GitHub Actions)
把安全检查纳入构建流程,防止带漏洞依赖被合并:
- 在 workflow 中添加步骤:
composer security:check --no-interaction --format=json > security-report.json || true - 配合脚本解析 JSON 输出,非零退出码表示存在中高危漏洞时让 CI 失败
- 也可使用
composer install --no-scripts --no-plugins后再检查,避免插件干扰
补充:其他可用工具(按推荐度排序)
虽然 Composer 原生命令已足够,但以下工具适合特定场景:
- Dependabot(GitHub):自动提交 PR 升级有漏洞的依赖,支持 PHP + composer.lock,配置简单
- PHPStan + phpstan-security:静态分析扩展,可检测部分不安全的函数调用(如硬编码密钥、危险反序列化),但不替代依赖扫描
- OSV.dev API:开源漏洞数据库,可通过脚本调用其 API 手动查询特定包版本(适合深度定制检查逻辑)
不复杂但容易忽略:定期运行 composer security:check 并关注 outdated --security 输出,比事后应急更有效。
