几个层面从最简单到最完整1.内置审计零成本先做这个 composer audit Composer2.4自带直接扫 composer.lock 里所有包有没有已知漏洞输出CVE编号和修复版本。---2.装一个拦截器包 composerrequire--dev roave/security-advisories:dev-latest 这个包本身没有代码就是一堆 conflict 规则。只要你 composer update它会直接拒绝安装有已知漏洞的版本CI里装上就能拦截。---3.锁住 lock 文件# 验证 lock 文件和 vendor 目录是否一致CI 必加composer validate--strict composer install--no-dev--prefer-dist composer.lock 里记录了每个包的精确版本和 sha256 哈希Composer 安装时会校验。不提交 lock 文件等于每次 install 都可能装到不同版本。---4.检查包名有没有被仿冒 composerrequireenlightn/security-checker--dev 或者直接用在线工具 https://packagist.org搜包名看发布者、下载量、最后更新时间。包名和知名库只差一两个字母的要特别小心typosquatting。---5.CI里的完整流程# .github/workflows/security.yml-run:composer install--no-dev-run:composer audit# 扫漏洞-run:composer validate--strict# 验证完整性---核心原则就三条提交 lock 文件、定期跑 composer audit、CI里装 roave/security-advisories。其他都是锦上添花。
php方案 PHP的依赖供应链安全
发布时间:2026/6/26 7:36:38
几个层面从最简单到最完整1.内置审计零成本先做这个 composer audit Composer2.4自带直接扫 composer.lock 里所有包有没有已知漏洞输出CVE编号和修复版本。---2.装一个拦截器包 composerrequire--dev roave/security-advisories:dev-latest 这个包本身没有代码就是一堆 conflict 规则。只要你 composer update它会直接拒绝安装有已知漏洞的版本CI里装上就能拦截。---3.锁住 lock 文件# 验证 lock 文件和 vendor 目录是否一致CI 必加composer validate--strict composer install--no-dev--prefer-dist composer.lock 里记录了每个包的精确版本和 sha256 哈希Composer 安装时会校验。不提交 lock 文件等于每次 install 都可能装到不同版本。---4.检查包名有没有被仿冒 composerrequireenlightn/security-checker--dev 或者直接用在线工具 https://packagist.org搜包名看发布者、下载量、最后更新时间。包名和知名库只差一两个字母的要特别小心typosquatting。---5.CI里的完整流程# .github/workflows/security.yml-run:composer install--no-dev-run:composer audit# 扫漏洞-run:composer validate--strict# 验证完整性---核心原则就三条提交 lock 文件、定期跑 composer audit、CI里装 roave/security-advisories。其他都是锦上添花。
