Composer 2.5+ 内置 audit 命令,基于 composer.lock 本地比对官方安全数据库,无需插件或网络上传,支持 JSON 输出、按严重级筛选、忽略误报及查看修复版本,并需升级后验证闭环。
Composer 从 2.5 版本起内置了 audit 命令,能快速识别项目依赖中已知的安全漏洞,无需额外安装插件或调用第三方服务。它直接对接 Composer 官方安全通告数据库(由 PHP Security Advisory Database 维护),结果权威、响应及时、执行轻量。
启用 audit 命令的前提条件
确保你使用的是 Composer 2.5 或更高版本:
- 运行
composer --version检查版本;低于 2.5 需先升级:composer self-update - 项目必须已有
composer.lock文件(audit基于 lock 文件分析实际安装的版本) - 无需配置 API Token,不上传任何代码或私有信息,纯本地比对
快速扫描:基础用法与输出解读
在项目根目录下执行:
composer audit
登录后复制
默认输出简洁格式,列出所有存在已知漏洞的包及其严重等级(low / medium / high / critical)。例如:
Found 2 advisories affecting 3 packages +----------------+---------+------------------+-----------------------------------+ | package | version | advisory ID | title | +----------------+---------+------------------+-----------------------------------+ | guzzlehttp/guzzle | 7.4.5 | composer-advisory-12345 | SSRF vulnerability in UriTemplate | | monolog/monolog | 2.8.0 | composer-advisory-67890 | Unsafe deserialization via custom handlers | +----------------+---------+------------------+-----------------------------------
登录后复制
每行代表一个真实影响当前安装版本的安全问题,不是“潜在风险”或“未来可能”——是已确认可利用的漏洞。
标签: php js git json composer github ai
版权声明:除非特别标注,否则均为本站原创文章,转载时请以链接形式注明文章出处。
还木有评论哦,快来抢沙发吧~