不能。composer audit 仅检测 vendor/ 中已安装包,依赖 Symfony 安全数据库,不扫描未安装依赖或子依赖的子依赖,且私有包、fork 包默认跳过;需先运行 composer install/update,否则结果为空。
composer audit 能否直接检测全部依赖漏洞
不能。从 Composer 2.5 开始内置的 composer audit 命令只检查已安装的包(即 vendor/ 中实际存在的版本),且默认仅对接 Symfony Security Advisory Database,不包含 CVE/NVD 等通用漏洞库。它不会扫描你 composer.json 中声明但尚未安装的依赖,也不会检查子依赖的子依赖(除非它们被实际安装)。
- 运行前必须先执行
composer install或composer update,否则vendor/为空,audit 结果为 “No vulnerabilities found”(即使有高危未装包) - 不支持 --ignore-platform-reqs 或离线模式下的深度校验
- 对私有包、fork 包、本地 path repo 默认跳过,除非手动在
composer.json中配置"type": "package"并显式提供安全元数据
如何让 composer audit 输出更详细的漏洞信息
加 --format=json 或 --format=table 可改变输出结构,但真正提升信息量的是启用详细模式和指定数据库源:
-
composer audit --full:强制检查所有已安装包(包括 dev-only 包),而非仅生产依赖 -
composer audit --no-dev:排除开发依赖,缩小范围(适合 CI 中快速验证线上环境) - 设置环境变量
COMPOSER_AUDIT_DATABASE=https://your-internal-db.example/v1/advisories可切换到自建或企业级漏洞库(需 API 兼容 Symfony 格式) - 若看到
Warning: No security advisories found for package xxx,说明该包不在 Symfony DB 中——不是“安全”,而是“未收录”,需人工核查
audit 报告中的 CVSS 分数和 severity 字段含义
Composer audit 输出的 severity 是 Symfony DB 自定义分级(low/medium/high/critical),**不等于 CVSS v3.x 原始评分**。它由 Symfony 安全团队人工评估,侧重实际利用难度与影响面,例如:
-
critical:远程代码执行、未授权接管、密钥硬编码泄露等 -
high:SQL 注入、SSRF、权限绕过,但需一定上下文条件 -
medium:XSS、日志注入、信息泄露(如堆栈暴露路径) - 没有
cvssScore字段;不要把high当作 CVSS 7.0+,也不要把medium当作可忽略
{
"advisory": {
"title": "Remote code execution in guzzlehttp/guzzle",
"severity": "critical",
"cve": "CVE-2023-38913",
"link": "https://symfony.com/security/advisories/CVE-2023-38913"
},
"package": "guzzlehttp/guzzle",
"version": "7.4.5"
}
为什么 composer audit 没报出已知漏洞(比如 laravel/framework
常见原因有三个,按优先级排查:
- 你的
vendor/laravel/framework实际版本是10.12.0,但composer.lock中记录的 version 字段被手动修改过,audit 读取的是 lock 文件里的声明版本,不是 vendor 中的真实文件头 - 项目使用了
replace或provide配置,导致 audit 认为该包已被替代(例如用laravel-zero/framework替代原生 Laravel,但未同步更新安全元数据) - Symfony DB 尚未收录该漏洞(尤其新爆的 CVE),此时需主动订阅 FriendsOfPHP/security-advisories 仓库,并用
composer audit --source=github(需 Composer 2.6+)临时接入
最稳妥的做法:定期运行 composer show --outdated + 手动查 CVE 数据库,audit 只作为第一道自动化防线,不是最终裁决。
