如何创建一个私有的Composer仓库（Satis/Private Packagist）？（企业级方案）

搭建私有Composer仓库应根据团队需求选择Satis（轻量自建、完全可控）或Private Packagist（合规高效、支持私有部署），二者可单独使用或混合部署，HTTPS为强制要求。

搭建私有 Composer 仓库，核心目标是安全可控地托管内部 PHP 包，支持团队协作、版本隔离和依赖审计。企业级场景下，推荐优先考虑 Satis（轻量、开源、自托管）或 Private Packagist（商业托管/私有部署版），二者定位不同：Satis 适合基础设施自主性强、需完全掌控数据的团队；Private Packagist 更适合追求开箱即用、审计合规、团队协作效率的中大型组织。

用 Satis 搭建轻量级私有仓库（推荐自建型）

Satis 是 Composer 官方推荐的静态包仓库生成器，不依赖运行时服务，仅需一个 Web 服务器（如 Nginx/Apache）即可提供服务，所有元数据以 JSON 文件形式生成并托管。

• 基础准备：确保服务器已安装 PHP（≥7.4）、Git 和 Composer；配置好可访问的 HTTPS 域名（如 packages.yourcompany.com）
• 初始化配置：创建 satis.json，明确指定哪些 Git 仓库纳入索引、支持的稳定性标记（如 "minimum-stability": "stable"）、是否启用 dist 包镜像等
• 构建流程自动化：通过 CI（如 GitHub Actions 或 GitLab CI）监听内部包仓库的 push 或 tag 事件，自动拉取最新 satis.json 并执行 php bin/satis build satis.json web/
• 安全加固：Web 目录禁止执行 PHP；对 web/packages.json 等关键文件启用 HTTP Basic Auth；敏感仓库 URL 使用 SSH 密钥而非密码，并在 CI 中通过 secrets 注入

接入 Private Packagist（推荐合规与协作导向）

Private Packagist 提供两种部署方式：SaaS 托管版（packagist.com）和私有部署版（On-Premise）。后者满足数据不出内网、SSO 集成、审计日志留存等强合规要求。

• 私有部署前提：需 Kubernetes 集群（官方 Helm Chart 支持）或 Docker Compose 环境；数据库（PostgreSQL）、缓存（Redis）、对象存储（S3 兼容）需独立准备
• 权限精细化控制：按团队划分“Organization → Team → Package”三级权限；支持基于 Git 分支/Tag 的自动同步策略，例如仅同步 release/* 分支到仓库
• 安全增强能力：内置漏洞扫描（对接 GitHub Security Advisories、OSV 等）；强制依赖许可白名单（如只允许 MIT、Apache-2.0）；支持 SPDX 格式许可证声明校验
• 与现有体系集成：支持 LDAP/Active Directory、Okta、Azure AD 单点登录；Webhook 可推送包发布事件至 Slack 或企业微信；提供完整 REST API 用于审计报表导出

客户端统一接入与最佳实践

无论选择哪种方案，开发者本地只需配置一次 composer.json 或全局 config.json，即可透明使用私有包。

标签： php redis js git json docker composer apache github nginx 微信