您好,欢迎访问宜昌市隼壹珍商贸有限公司
400 890 5375
您好,欢迎访问宜昌市隼壹珍商贸有限公司
400 890 5375
Composer install 默认不报错是因为它仅对 dist 方式安装的包校验哈希,source 方式(如 git clone)默认跳过校验;手动修改 vendor、CI 复用旧目录或中间人篡改均可能导致篡改未被发现。
当前位置: composer install 为什么没报错默认情况下,Composer 不会在每次 composer install 时校验已下载包的完整性。它只比对 compos 中记录的 
er.lockdist.sha256(或 sha1)与本地 vendor/ 下解压后的文件哈希——但前提是这些包是通过 dist 方式安装(即 zip/tar 包),且你没禁用校验("archive": {"skip-dev": true} 等配置不影响此校验)。如果包是通过 source(git clone)方式安装,Composer 默认跳过哈希校验,因为源码可能被本地修改(如调试打补丁),此时篡改不会触发警告。
常见诱因包括:
vendor/ 下的文件(比如临时 patch 某个 bug 却忘了还原)vendor/ 目录,而新旧 composer.lock 版本不一致composer install --dry-run + --verbose
--dry-run 不真正安装,而是模拟整个流程并校验所有包哈希是否匹配 composer.lock。搭配 --verbose 可看到每一步校验结果,一旦发现不一致会直接报错并退出。
实操建议:
composer install --no-progress --no-suggest --dry-run --verbose
--profile 可看耗时,确认是否卡在校验环节:composer install --dry-run --verbose --profile
composer.lock 并尝试准备 vendor 结构,所以要求 vendor/ 存在且结构基本完整;若完全空目录,它会提示 “nothing to install”,不触发校验composer.lock 并比对当怀疑某个特定包(如 monolog/monolog)被改过,可跳过全局流程,直接定位校验:
composer.lock,搜索该包名,在对应条目下找到 "dist": {"sha256": "..."} 字段vendor/monolog/monolog/ 目录,执行:find . -type f -not -path "./.git/*" -print0 | sort -z | xargs -0 sha256sum | sha256sum(Linux/macOS)
composer.lock 中的 sha256 对比;若不一致,说明文件已被修改Get-ChildItem vendor\monolog\monolog -File -Recurse | Where-Object { $_.FullName -notmatch '\\.git\\' } | Sort-Object FullName | ForEach-Object { Get-FileHash $_.FullName -Algorithm SHA256 } | ForEach-Object { $_.Hash } | Out-String | Get-FileHash -Algorithm SHA256COMPOSER_DISABLE_XDEBUG_WARN 和锁定安装模式不是所有篡改都来自恶意,有些源于开发误操作。Composer 本身不提供“写保护 vendor”机制,但可通过约束降低风险:
composer install --no-dev --optimize-autoloader,避免因 require-dev 引入不稳定依赖导致意外覆盖COMPOSER_DISABLE_XDEBUG_WARN=1 composer install --dry-run --verbose
composer.json 中加 "config": {"secure-http": true, "lock": true},强制要求 https 源和 lock 文件存在,减少中间人劫持可能composer validate --strict 检查 composer.json 合法性,防止因语法错误导致解析异常、跳过校验逻辑hash 校验本质是静态快照比对,它无法防御运行时注入或符号链接污染。真正可靠的防护,是在 CI 中坚持 clean build + --dry-run 校验,并杜绝任何手动 touch vendor/ 的操作习惯。
电子邮箱:
公司地址:宜昌市西陵区黄河路5号三峡明珠10栋1051室