应强制 composer 仅使用 packagist.org 官方源、禁用未授权插件并启用安全校验:清空 repositories、禁用自定义源、设 secure-http=true、禁用 disable-tls、用 allow-plugins 白名单管控插件、ci 中清缓存并锁定配置。
只允许安装 packagist.org 官方源的包
Composer 默认会从 packagist.org 拉取包,但如果你手动加过私有仓库(比如用 repositories 配置了 Git URL 或 Satis 服务),它就可能绕过官方源——而这些第三方源没经过 Packagist 审核,风险不可控。
最直接的控制方式是清空所有自定义源,强制只走官方通道:
- 删掉
composer.json里的repositories字段(包括type: "package"、type: "vcs"等) - 确认没有设置
COMPOSER_REPO_PACKAGIST环境变量(它会覆盖默认源) - 运行
composer config --global repo.packagist false后再加回官方源:composer config --global repo.packagist '{"type": "composer", "url": "https://packagist.org"}'
注意:一旦配置了任何非默认 repositories,Composer 就不再校验包是否在 packagist.org 上注册过——哪怕你只是加了个空的 {"type":"composer","url":"https://example.com"},也会让所有 require 跳过官方索引检查。
阻止未签名或未验证的包安装
Composer 本身不内置包签名验证,但 2.5+ 版本支持通过 composer validate --strict 检查 composer.json 是否声明了 bin、autoload 等关键字段,间接筛掉明显可疑的包;更关键的是启用 secure-http 和 disable-tls 控制:
- 确保
secure-http为true(默认值),防止从http://源拉取元数据:composer config --global secure-http true - 绝不要设
disable-tls为true,否则 HTTPS 证书校验被跳过,中间人攻击风险陡增 - 用
composer show --all手动核对包来源:可信包的source应为git类型且 URL 域名可验证(如github.com/laravel/framework),而非裸 IP 或短链
第三方包若没提供 dist 的 sha256 校验和(即 dist.shasum 字段),Composer 不会报错,但你可以用 composer install --dry-run 配合 composer show vendor/name 查看其元数据完整性。
用 allow-plugins 限制危险插件自动执行
很多供应链攻击靠恶意插件实现,比如 hook pre-install-cmd 下载远控脚本。Composer 2.2+ 引入插件白名单机制,默认禁止所有插件运行:
- 首次运行
composer install时会提示哪些插件被拦住,必须显式授权才能启用 - 用
composer config --global allow-plugins.vendor-name/plugin-name true逐个放行,别用通配符* - 检查项目级配置:
composer.json中的config.allow-plugins若设为true或[],等于彻底放开——应删掉该字段,依赖全局策略
常见高危插件包括 phpstan/extension-installer、hirak/prestissimo(已废弃),它们可能加载任意 PHP 代码。只要没明确业务需求,一律不授权。
CI/CD 中锁定源与插件策略
本地开发环境宽松点还能接受,但 CI 流水线必须硬性隔离:
- 在 GitHub Actions / GitLab CI 中,用
composer config --global repo.packagist '{"type":"composer","url":"https://packagist.org"}'覆盖任何用户配置 - 加一步校验:
composer config --global allow-plugins false && composer install --no-plugins,确保插件完全不加载 - 如果用了私有包,别把 token 塞进
repositories,改用auth.json+COMPOSER_AUTH环境变量,避免泄露到日志或缓存中
最容易被忽略的一点:Composer 缓存目录(~/.composer/cache)可能存着之前装过的非官方包,CI 每次都该用干净容器或清缓存(composer clear-cache),否则旧包可能被复用绕过当次策略。
