Composer 2.5+ 内置的 composer security:check 命令是目前最直接、集成度高且持续维护的安全检查方式,自动扫描 composer.lock 并比对 Symfony 安全公告数据库。
你可以使用 SensioLabs Security Checker(已归档)的替代工具,比如官方推荐的 Composer Security Plugin 或 PHP Security Checker,但目前最直接、集成度最高且持续维护的方式是启用 Composer 内置的安全检查功能。
使用 Composer 自带的 security:check 命令
从 Composer 2.5 开始,composer security:check 成为原生命令(无需额外插件),它会自动扫描 composer.lock 中所有已安装依赖,比对 Symfony Security Advisory Database(由 Symfony 团队维护,覆盖大量 PHP 包)。
- 确保你使用的是 Composer 2.5+:
composer --version - 在项目根目录运行:
composer security:check - 若发现漏洞,会列出包名、版本、CVE 编号(如有)、严重程度和简要描述
- 该命令默认离线检查失败时才回退到在线数据库,隐私友好
升级到安全版本的依赖
发现漏洞后不能只看报告,关键是要修复:
- 优先运行
composer update vendor/package-name升级到已修复的版本(查看报告中的建议版本或对应 CVE 的补丁说明) - 如需批量升级多个有漏洞的包,可结合
composer outdated --security查看哪些包存在安全更新 - 注意:某些旧版包可能已无维护,需考虑替换为更活跃的替代方案(如用
league/flysystem替代弃用的flysystemv1)
在 CI/CD 中自动检查(例如 GitHub Actions)
把安全检查纳入构建流程,防止带漏洞依赖被合并:
标签: php js git json composer github 编码 工具
版权声明:除非特别标注,否则均为本站原创文章,转载时请以链接形式注明文章出处。
还木有评论哦,快来抢沙发吧~