不能。composer audit仅检测security-advisories数据库收录的已知漏洞,且默认只扫描require中的包,不覆盖require-dev、私有包、未收录漏洞及逻辑漏洞。
composer audit 能不能直接查出所有漏洞
不能。它只检查已知的、被 security-advisories 数据库收录的 PHP 包漏洞,且默认只扫描 require 中的包(不包含 require-dev)。没进数据库的漏洞、逻辑漏洞、自定义私有包、或已废弃但未标记的版本,它都看不到。
实操建议:
- 运行前先确保本地有最新漏洞数据:
composer update --lock(更新 lock 文件本身不影响代码,但能拉取新版 advisory 信息) - 想连开发依赖一起扫:加
--dev参数,即composer audit --dev - CI 中建议固定使用
--format=json输出,方便解析和失败判断 - 注意:PHP 8.2+ 的
composer audit默认启用,但旧版 Composer(Command "audit" is not defined
audit 报出来的 CVE 编号找不到对应修复版本怎么办
常见现象是输出类似 CVE-2023-12345 in vendor/package v1.2.0,但翻遍该包的 GitHub Release 或 CHANGELOG,发现没提这个 CVE,甚至搜不到该编号。
原因通常是:security-advisories 数据库由 FriendsOfPHP 维护,靠社区提交 + 自动抓取,存在误标、延迟、或把其他语言/项目的 CVE 错标到 PHP 包上。
实操建议:
- 别急着升级——先去 FriendsOfPHP/security-advisories 搜该 CVE,看原始提交记录里有没有说明来源和上下文
- 再查目标包的 issue 列表和 commit 历史,关键词用
CVE、security、漏洞描述里的函数名(比如unserialize) - 如果确认是误报,可临时忽略:
composer audit --ignore=CVE-2023-12345(仅限单次) - 更稳妥的做法是加到
composer.json的security-ignore字段里,避免 CI 反复失败
audit 和第三方工具(如 Snyk、GitHub Dependabot)结果不一致
这是常态。audit 依赖 FriendsOfPHP 的静态数据库;Snyk 有自己的爬虫+人工审核+运行时分析;Dependabot 还结合了 GitHub 的仓库活动信号。三者覆盖范围、响应速度、判定粒度都不同。
典型差异点:
-
composer audit不分析你写的代码是否调用了危险函数(比如eval()),而 Snyk Code 类工具会 - Dependabot 可能推一个“建议升级”的 PR,但
composer audit没报——因为该问题尚未被收录进 advisory 数据库 - audit 对 fork 后修改过的私有包完全无感知;Snyk 支持上传
composer.lock并做比对,但依然无法审计你改过的源码逻辑 - 性能上,audit 是纯本地 JSON 查表,秒出结果;Snyk 首次扫描要上传、排队、分析,耗时明显更长
audit 在 CI 里怎么设为失败阈值
默认只要扫出任意一条 advisory 就返回非零退出码(即 CI 步骤失败),但实际项目中常需要分级控制:比如高危必须阻断,中危只告警。
目前 composer audit **没有内置严重等级过滤参数**,只能靠外部处理:
- 用
--format=json输出后,用jq提取.advisories[].severity过滤:composer audit --format=json | jq -e 'map(select(.severity == "critical")) | length > 0' - GitHub Actions 中可写成条件判断:
if: ${{ contains( steps.audit.outputs.result, '"severity":"critical"') }} - 注意:JSON 输出中的
severity字段值只有critical/high/medium/low四种,大小写敏感,且不是所有 advisory 都带该字段(老条目可能为空)
真正容易被忽略的是 lock 文件本身的可信度——audit 扫的是 composer.lock 记录的版本,但如果有人手动改过它、或 install 时跳过了校验,audit 结果就只是“纸上谈兵”。上线前最好加一道 composer install --dry-run 确认锁文件与远程一致。
