composer 本身不支持跨语言 sbom 生成,因其仅解析 php 的 composer.json 和 composer.lock,对 node.js、python 等其他语言依赖文件完全无感知,强行统一快照会导致残缺或失败。
composer 本身不支持跨语言 SBOM 生成
Composer 是 PHP 的依赖管理工具,它只解析 composer.json 和锁文件 composer.lock,对 Node.js 的 package.json、Python 的 requirements.txt 或 pyproject.toml 完全无感知。试图用 composer 命令直接“统一快照”多语言服务,会失败或产出残缺结果。
常见错误现象:
– 运行 composer sbom:export(不存在的命令)报错 Command "sbom:export" is not defined
– 误以为 composer install --dry-run 能模拟其他语言行为,实际只影响 PHP 依赖解析
– 把 composer.lock 当作通用依赖清单提交到混合仓库,导致 Python/Node 服务部署时版本漂移
- 真正可行路径是:用各语言原生命令分别生成 SPDX/SBOM 格式,再用通用工具聚合
- PHP 侧可用
spdx-sbom-generator(基于composer.lock)或syndesis工具链 - Node.js 用
npm sbom(npm ≥ 8.12)或cyclonedx-node-module - Python 推荐
pipdeptree --freeze | cyclonedx-py,注意pip版本需 ≥ 22.2 才能稳定输出哈希
为什么不能靠 composer.lock 当“主干依赖源”?
composer.lock 不包含任何非 PHP 组件的元数据:没有 npm 包的 integrity 字段、没有 Python 包的 direct_url.json 记录、也不记录二进制依赖(如 Node 插件调用的 native 模块)。强行把它当中心化快照,等于把地图画成只有省界,却标榜能导航全国高速。
典型兼容性陷阱:
– composer.lock 中的 dist.shasum 是 tarball 哈希,而 npm 使用 integrity(SRI),二者不可互换验证
– Python 的 pip install --no-deps 会跳过依赖树,但 composer install --no-scripts 仍强制解析全部 require,行为不对齐
– 多语言 CI 流水线里,若只跑 composer update 就触发 SBOM 更新,Node/Python 部分永远滞后
立即学习“PHP免费学习笔记(深入)”;
- SBOM 必须在每个语言环境独立构建完成后生成,不能跨环境复用锁文件
- 不同语言锁文件时间戳、生成工具版本、网络代理缓存策略都影响哈希一致性
- 微服务拆分后,PHP 服务 A 和 Python 服务 B 可能共用一个基础镜像,但它们的
composer.lock和poetry.lock必须各自独立校验
CI 中怎么实操统一 SBOM 输出?
关键不是“让 composer 管所有”,而是用轻量脚本协调各语言工具,在同一构建上下文里收口输出。推荐用 Makefile 或 GitHub Actions 的 job-level artifact 收集。
示例(GitHub Actions):
– 在 PHP job 里运行:spdx-sbom-generator -f composer.lock -o sbom-php.json
– 在 Node job 里运行:npm sbom --output sbom-node.json --type spdx-json
– 在 Python job 里运行:cyclonedx-py -r -o sbom-python.json
– 最后用 sbom-merge(来自 cyclonedx-cli)合并三个文件
- 必须指定
--serial-number参数给每个子 SBOM,否则合并时会冲突 - 注意
cyclonedx-cli merge默认不校验组件重复,建议加--fail-on-duplicate-bom-refs - 不要把合并结果硬编码进 Git,应作为构建产物上传到制品库(如 Nexus、Artifactory),并关联 commit SHA
容易被忽略的签名与溯源细节
很多团队生成了 SBOM 文件就以为完成,但合规审计真正卡点的是:谁在什么环境、用什么命令、基于什么输入生成了它。没有这些,SBOM 就是张废纸。
必须嵌入的字段:
– creationInfo.createdBy:写明工具链版本,例如 "cyclonedx-py v4.2.0 + pip 23.3.1"
– component.purl:确保每个包都有 PURL(Package URL),PHP 包要用 purl-type=composer,不是 pkg:npm
– externalReferences:指向原始锁文件在 Git 中的 blob SHA,而非分支名(避免 tag 被 force push 后失效)
- PHP 的
spdx-sbom-generator默认不填createdBy,需手动 patch 或用--tool参数注入 - Node 的
npm sbom不生成purl,得靠cyclonedx-node-module替代 - 所有语言生成的 SBOM 必须用
cosign sign签名,密钥绑定 CI runner 的 OIDC identity,不能用静态密钥
没做签名、没绑 Git blob、没填 tool chain 版本的 SBOM,过不了金融或政务类客户的供应链审计。
