Composer audit 是 Composer 2.5+ 内置的安全检查命令,可扫描依赖中已知漏洞;需先确认并升级至 2.5.0+ 版本,再运行 composer audit,默认检查 composer.lock 中所有包,支持按严重等级、包名过滤及 CI/CD 集成,但不自动修复。
Composer audit 是 Composer 2.5+ 内置的安全检查命令,能快速扫描项目依赖中已知的漏洞(基于 composer/advisories 数据库),无需额外安装插件。
确认 Composer 版本并更新
audit 命令仅在 Composer 2.5.0 及以上版本可用。运行以下命令检查当前版本:
composer --version
若低于 2.5,先升级 Composer:
- 全局安装: curl -sS https://getcomposer.org/installer | php && sudo mv composer.phar /usr/local/bin/composer
- 或使用 composer self-update(需已安装较新版本)
运行 composer audit 基础扫描
在项目根目录执行:
composer audit
默认行为是检查 composer.lock 中所有已安装包,输出含 CVE 编号、严重等级(low/medium/high/critical)、受影响版本范围及简要描述。无输出表示暂未发现已知漏洞。
如需更详细信息(例如漏洞来源链接),可加 --format=verbose:
composer audit --format=verbose
标签: php js git json composer github curl gitlab
版权声明:除非特别标注,否则均为本站原创文章,转载时请以链接形式注明文章出处。
还木有评论哦,快来抢沙发吧~