如何验证Composer下载包的完整性以防篡改？（checksums）

Composer 通过 SHA-256 哈希与 GPG 签名双重机制保障包完整性：安装时自动校验 composer.lock 中的 dist.shasum，不匹配则报错；生产环境可启用 Packagist 元数据 GPG 签名验证防投毒；支持手动下载比对哈希进行离线审计。

Composer 本身不直接提供类似 npm audit 或 pip verify 那样的内置命令来主动校验已安装包的完整性，但它通过多层机制保障下载包未被篡改——核心依赖的是 签名验证（Sigs）和哈希校验（Checksums），且这些验证在安装/更新时默认自动执行，无需手动触发。

Composer 使用的 checksum 类型：SHA-256 和签名（GPG）

Composer 官方仓库（packagist.org）为每个包版本维护两套完整性保障：

• SHA-256 哈希值：记录在 composer.lock 文件中，对应每个包的 dist.shasum 字段（如 "shasum": "a1b2c3..."），这是压缩包（zip/tar）解压前的原始哈希；
• GPG 签名：Packagist 对元数据（如 packages.json）进行 GPG 签名，Composer 启用 secure-http 和 cafile（或系统 CA）后会验证 HTTPS 传输链，并在启用 signing-key 时校验元数据签名（需额外配置）。

如何确认 checksum 已生效？检查 composer.lock 和安装日志

Composer 在运行 composer install 或 composer update 时，会自动比对远程包的 SHA-256 与 composer.lock 中记录的 shasum。若不一致，会中止安装并报错：

• 查看 composer.lock：打开该文件，搜索某个包的 dist 段，确认存在 "shasum" 字段且非空；
• 观察安装输出：成功时通常显示 Installing vendor/package (v1.2.3): Downloading (100%)，无警告即表示校验通过；
• 故意破坏校验（测试用）：修改 composer.lock 中某包的 shasum 为错误值，再运行 composer install，会明确提示 Signature mismatch, package is corrupted 或类似错误。

增强校验：启用 Packagist 元数据签名（推荐生产环境）

Packagist 自 2021 年起支持 GPG 签名元数据，Composer 可验证其真实性，防止仓库投毒（如恶意包被注入搜索结果）。启用方式如下：

标签： js json composer npm ssl curl 解压 igs