Composer通过校验和验证包完整性,运行install或update时读取composer.lock中的shasum值,下载包后计算实际SHA-1或SHA-256并比对,不匹配则报错终止,确保代码未被篡改。
Composer 本身在安装或更新包时会自动验证包的完整性,包括检查 SHA-256 或 SHA-1 校验和。这些校验信息来自 packagist.org 或你配置的私有仓库,并通过 Composer 的下载过程进行比对。
Composer 如何验证校验和
当你运行 composer install 或 composer update 时,Composer 会:
- 从 composer.lock 文件中读取已锁定的包版本及其 dist 信息(包括 url、type、reference、shasum 等)
- 下载对应的压缩包(zip、tar 等)
- 计算下载文件的实际 SHA-1 或 SHA-256 值
- 与 lock 文件中记录的校验和进行比对
- 如果不匹配,Composer 会中断安装并报错,防止使用被篡改的代码
注意:Composer 默认主要验证的是 SHA-1,但现代版本也支持 SHA-256(如果元数据中提供)。
查看 lock 文件中的校验和
打开你的 composer.lock 文件,找到某个包的条目,你会看到类似内容:
{
"name": "symfony/polyfill-php80",
"version": "v1.27.0",
"source": {
"type": "git",
"url": "https://github.com/symfony/polyfill-php80.git",
"reference": "a74f1821dfede52eb90acb7dd1ea6d831"
},
"dist": {
"type": "zip",
"url": "https://api.github.com/repos/symfony/polyfill-php80/zipball/a74f1821dfede52eb90acb7dd1ea6d831",
"reference": "a74f1821dfede52eb90acb7dd1ea6d831",
"shasum": "e8b2c6c6a7dcbb894bc90db5be1ae1f2133810a"
}
}其中 shasum 字段就是该 zip 包的 SHA-1 校验和。Composer 下载后会计算实际 SHA-1 并与这个值对比。
手动验证包的 SHA-256 或 SHA-1
如果你需要手动验证某个包的完整性(比如审计安全),可以这样做:
- 从 composer.lock 获取 dist 的下载链接
- 用命令行下载该包
- 使用系统工具计算哈希值
例如:
# 下载包 curl -L -o package.zip https://api.github.com/repos/symfony/polyfill-php80/zipball/a74f1821dfede52eb90acb7dd1ea6d831计算 SHA-1
shasum package.zip
输出:e8b2c6c6a7dcbb894bc90db5be1ae1f2133810a package.zip
计算 SHA-256
shasum -a 256 package.zip
将结果与 lock 文件中的 shasum 或仓库提供的 checksums 对比。
启用更严格的校验(推荐)
确保你的 Composer 配置启用了完整性检查:
- 保持 Composer 更新到最新版本(支持更强的校验机制)
- 不要随意禁用 secure-http(避免 HTTP 下载)
- 使用 COMPOSER_DISABLE_NETWORK=1 在离线环境中防止意外下载
Composer 还支持使用 ca-bundle 和 HTTPS 来保证下载源的安全,进一步配合哈希校验形成完整信任链。
基本上就这些。Composer 在背后默默做了很多安全工作,只要你不绕过 lock 文件、不关闭校验,日常使用是安全的。
