Composer 通过 SHA-256 哈希与 GPG 签名双重机制保障包完整性:安装时自动校验 composer.lock 中的 dist.shasum,不匹配则报错;生产环境可启用 Packagist 元数据 GPG 签名验证防投毒;支持手动下载比对哈希进行离线审计。
Composer 本身不直接提供类似 npm audit 或 pip verify 那样的内置命令来主动校验已安装包的完整性,但它通过多层机制保障下载包未被篡改——核心依赖的是 签名验证(Sigs)和哈希校验(Checksums),且这些验证在安装/更新时默认自动执行,无需手动触发。
Composer 使用的 checksum 类型:SHA-256 和签名(GPG)
Composer 官方仓库(packagist.org)为每个包版本维护两套完整性保障:
-
SHA-256 哈希值:记录在
composer.lock文件中,对应每个包的dist.shasum字段(如"shasum": "a1b2c3..."),这是压缩包(zip/tar)解压前的原始哈希; -
GPG 签名:Packagist 对元数据(如
packages.json)进行 GPG 签名,Composer 启用secure-http和cafile(或系统 CA)后会验证 HTTPS 传输链,并在启用signing-key时校验元数据签名(需额外配置)。
如何确认 checksum 已生效?检查 composer.lock 和安装日志
Composer 在运行 composer install 或 composer update 时,会自动比对远程包的 SHA-256 与 composer.lock 中记录的 shasum。若不一致,会中止安装并报错:
- 查看
composer.lock:打开该文件,搜索某个包的dist段,确认存在"shasum"字段且非空; - 观察安装输出:成功时通常显示
Installing vendor/package (v1.2.3): Downloading (100%),无警告即表示校验通过; - 故意破坏校验(测试用):修改
composer.lock中某包的shasum为错误值,再运行composer install,会明确提示Signature mismatch, package is corrupted或类似错误。
增强校验:启用 Packagist 元数据签名(推荐生产环境)
Packagist 自 2021 年起支持 GPG 签名元数据,Composer 可验证其真实性,防止仓库投毒(如恶意包被注入搜索结果)。启用方式如下:
- 确保 Composer 版本 ≥ 2.2(
composer --version); - 运行:
composer config -g repo.packagist.org.allow_ssl_downgrade false(禁用降级); - 运行:
composer config -g repo.packagist.org.type composer(确保使用标准 composer 类型); - 签名密钥已预置,无需手动导入 — Composer 默认信任 Packagist 的公钥(位于
https://packagist.org/keys.json)。
启用后,Composer 会在拉取 packages.json 时自动校验 GPG 签名,失败则拒绝加载包列表。
手动验证单个包(应急或审计场景)
若需离线复核某包完整性(例如安全审计),可按以下步骤操作:
- 从
composer.lock获取目标包的dist.url和shasum; - 用
wget或curl下载该 URL 对应的 zip/tar 包(注意:URL 可能含临时 token,过期需重新生成); - 执行:
sha256sum downloaded-package.zip,比对输出是否与shasum字段完全一致; - (可选)校验 GPG 签名:若包作者提供了签名文件(如
.asc),可用gpg --verify验证,但 Packagist 托管包一般不提供此层签名。
