Composer audit 是 Composer 2.5+ 内置的安全检查命令,可扫描依赖中已知漏洞;需先确认并升级至 2.5.0+ 版本,再运行 composer audit,默认检查 composer.lock 中所有包,支持按严重等级、包名过滤及 CI/CD 集成,但不自动修复。
Composer audit 是 Composer 2.5+ 内置的安全检查命令,能快速扫描项目依赖中已知的漏洞(基于 composer/advisories 数据库),无需额外安装插件。
确认 Composer 版本并更新
audit 命令仅在 Composer 2.5.0 及以上版本可用。运行以下命令检查当前版本:
composer --version
若低于 2.5,先升级 Composer:
- 全局安装: curl -sS https://getcomposer.org/installer | php && sudo mv composer.phar /usr/local/bin/composer
- 或使用 composer self-update(需已安装较新版本)
运行 composer audit 基础扫描
在项目根目录执行:
composer audit
默认行为是检查 composer.lock 中所有已安装包,输出含 CVE 编号、严重等级(low/medium/high/critical)、受影响版本范围及简要描述。无输出表示暂未发现已知漏洞。
如需更详细信息(例如漏洞来源链接),可加 --format=verbose:
composer audit --format=verbose
Shopxp购物系统历经多年的考验,并在推出shopxp免费购物系统下载之后,收到用户反馈的各种安全、漏洞、BUG、使用问题进行多次修补,已经从成熟迈向经典,再好的系统也会有问题,在完善的系统也从在安全漏洞,该系统完全开源可编辑,当您下载这套商城系统之后,可以结合自身的技术情况,进行开发完善,当然您如果有更好的建议可从官方网站提交给我们。Shopxp网上购物系统完整可用,无任何收费项目。该系统经过
按严重等级或包名过滤结果
日常排查时,常聚焦高危问题:
- 只显示 high 或 critical 级别:composer audit --level=high 或 --level=critical
- 检查特定包(如 guzzlehttp/guzzle):composer audit guzzlehttp/guzzle
- 忽略已知误报或暂无法升级的漏洞(需谨慎):composer audit --ignore=vendor/package:12345(12345 是 advisory ID)
结合 CI/CD 自动化检查
可在 GitHub Actions、GitLab CI 等流程中加入安全卡点:
例如 GitHub Actions 的 job 步骤中添加:
run: composer audit --level=high --no-dev || exit 1
这表示:只要发现 high 及以上级别漏洞(不含 dev 依赖),构建即失败,强制团队响应。搭配 --no-dev 可避免开发依赖干扰生产环境评估。
注意:audit 不会自动修复,它只报告。修复需手动执行 composer update vendor/package 或调整 composer.json 版本约束后重新 install。
基本上就这些。audit 是轻量、可靠的第一道依赖安全防线,不复杂但容易忽略。
