composer audit 命令用于检测 PHP 项目依赖中的安全漏洞,需 Composer 2.5+ 版本支持,通过 composer --version 确认版本后,在项目根目录运行 composer audit 扫描 composer.lock 文件;常用选项包括 --no-dev(仅生产环境)、--format=json(JSON 输出)、--show-cve(显示 CVE 编号);输出结果若提示漏洞,将列出包名、版本、CVE/GHSA 编号、漏洞类型、详情链接及修复建议(如升级版本);发现漏洞后应确认使用情况、兼容性并执行 composer update 升级,或引入 roave/security-advisories 阻止不安全版本安装;建议集成到 CI/CD、git 钩子或定期手动执行以持续保障安全。
当你在 PHP 项目中使用 Composer 管理依赖时,composer audit 是一个非常实用的命令,用于检测项目中已安装的依赖包是否存在已知的安全漏洞。这个功能从 Composer 2.5 版本开始引入,基于 FriendsOfPHP/security-advisories 数据库进行比对。
如何使用 composer audit 命令
确保你使用的 Composer 版本不低于 2.5。可以通过以下命令检查:
// 查看 Composer 版本 composer --version如果版本符合要求,直接在项目根目录运行:
composer audit该命令会扫描 composer.lock 文件中记录的所有已安装包,并与安全数据库比对。
常用选项包括:
- --locked:默认行为,基于 lock 文件审计(推荐)
- --lock:在更新 lock 文件前预审(比如准备提交更改前)
- --no-dev:忽略 dev 依赖,只审计生产环境依赖
- --format=json:以 JSON 格式输出结果,便于脚本处理
- --show-cve:显示对应的 CVE 编号(如果有)
解读 audit 输出内容
执行命令后,常见输出分为几种情况:
情况一:无问题
No security vulnerability found.说明当前依赖中没有发现已知高危漏洞,这是最理想的结果。
情况二:发现安全问题
每条警告包含以下信息:
- 包名和版本:如 react/http v1.2.0
- CVE 或 GHSA 编号:标准化漏洞标识
- 漏洞类型简述:例如 SSRF、RCE、XSS 等
- 详情链接:可点击查看具体技术细节
- 修复建议:通常为升级到某个最小安全版本
注意:某些警告可能标记为 "partial" 或涉及间接依赖(require vs require-dev),但只要是 lock 文件里的包,都会被检查。
如何应对发现的问题
看到漏洞报告后,不要慌张,按步骤处理:
- 确认该包是否实际被使用,尤其是 dev 依赖
- 查看升级建议版本是否与当前项目兼容
- 运行 composer update vendor/package 升级到安全版本
- 更新后再次运行 composer audit 验证是否解决
- 若无法立即升级,考虑临时方案(如网络隔离、输入过滤),并在团队内记录风险
对于无法升级的老旧项目,可以考虑引入 roave/security-advisories 作为 dev 依赖,它会阻止安装已知存在漏洞的版本。
集成到开发流程
为了持续保障安全,建议将 composer audit 加入日常流程:
- CI/CD 流程中加入该命令,失败则阻断部署
- 在 pre-commit 或 pre-push 钩子中运行
- 定期手动执行(如每周一次)
例如在 GitHub Actions 中添加:
- name: Run Composer Audit run: composer audit --no-dev基本上就这些。composer audit 虽然简单,但能有效帮你避开常见的第三方包安全坑。关键是养成定期检查的习惯,并及时响应警告。不复杂但容易忽略。
