Composer 无 --audit-format 参数,正确格式化选项为 --format=json;自 v2.5.0 起支持,输出结构化 JSON 报告,含 CVE、包名、严重程度等字段,退出码按漏洞等级区分,适用于 CI/CD 自动化解析。
Composer 的 --audit-format 参数本身并不存在 —— 这是常见误解。Composer 自带的 audit 命令(自 2.5.0+ 引入)**不支持 --audit-format 或类似格式化选项**,默认只输出人类可读的文本报告。
真正可用的 JSON 安全审计方式
要获得结构化、适合自动化集成的 JSON 格式安全报告,必须使用 Composer 内置的 audit --format=json(注意是 --format,不是 --audit-format):
- 该选项从 Composer v2.5.0 起正式支持
- 命令示例:
composer audit --format=json - 输出为标准 JSON:包含漏洞数量、每个漏洞的 CVE ID、包名、版本、严重程度、描述等字段
- 退出码规范:无漏洞时返回
0;发现高危及以上漏洞时返回1(便于 CI 判断)
在 CI/CD 中安全集成 JSON 输出
直接解析 JSON 可避免文本解析的脆弱性,推荐以下做法:
版权声明:除非特别标注,否则均为本站原创文章,转载时请以链接形式注明文章出处。
还木有评论哦,快来抢沙发吧~