Composer install 默认不报错是因为它仅对 dist 方式安装的包校验哈希,source 方式(如 git clone)默认跳过校验;手动修改 vendor、CI 复用旧目录或中间人篡改均可能导致篡改未被发现。
vendor 包被篡改时 composer install 为什么没报错
默认情况下,Composer 不会在每次 composer install 时校验已下载包的完整性。它只比对 composer.lock 中记录的 dist.sha256(或 sha1)与本地 vendor/ 下解压后的文件哈希——但前提是这些包是通过 dist 方式安装(即 zip/tar 包),且你没禁用校验("archive": {"skip-dev": true} 等配置不影响此校验)。如果包是通过 source(git clone)方式安装,Composer 默认跳过哈希校验,因为源码可能被本地修改(如调试打补丁),此时篡改不会触发警告。
常见诱因包括:
- 手动编辑了
vendor/下的文件(比如临时 patch 某个 bug 却忘了还原) - CI/CD 流程中复用了未清理的
vendor/目录,而新旧composer.lock版本不一致 - 镜像源或网络中间人篡改了 dist 包(极少见,但 hash 校验正是为此设计)
启用强制哈希校验:用 composer install --dry-run + --verbose
--dry-run 不真正安装,而是模拟整个流程并校验所有包哈希是否匹配 composer.lock。搭配 --verbose 可看到每一步校验结果,一旦发现不一致会直接报错并退出。
实操建议:
- 在 CI 流水线中固定使用:
composer install --no-progress --no-suggest --dry-run --verbose
- 本地排查时,加
--profile可看耗时,确认是否卡在校验环节:composer install --dry-run --verbose --profile
- 注意:该命令仍会读取
composer.lock并尝试准备 vendor 结构,所以要求vendor/存在且结构基本完整;若完全空目录,它会提示 “nothing to install”,不触发校验
手动验证单个包的 hash:查 composer.lock 并比对
当怀疑某个特定包(如 monolog/monolog)被改过,可跳过全局流程,直接定位校验:
- 打开
composer.lock,搜索该包名,在对应条目下找到"dist": {"sha256": "..."}字段 - 进入
vendor/monolog/monolog/目录,执行:find . -type f -not -path "./.git/*" -print0 | sort -z | xargs -0 sha256sum | sha256sum
(Linux/macOS) - 将最终输出的哈希值与
composer.lock中的sha256对比;若不一致,说明文件已被修改 - Windows 用户可用 PowerShell:
Get-ChildItem vendor\monolog\monolog -File -Recurse | Where-Object { $_.FullName -notmatch '\\.git\\' } | Sort-Object FullName | ForEach-Object { Get-FileHash $_.FullName -Algorithm SHA256 } | ForEach-Object { $_.Hash } | Out-String | Get-FileHash -Algorithm SHA256
长期防护:开启 COMPOSER_DISABLE_XDEBUG_WARN 和锁定安装模式
不是所有篡改都来自恶意,有些源于开发误操作。Composer 本身不提供“写保护 vendor”机制,但可通过约束降低风险:
- 禁止 dev 包混入生产环境:在部署时始终用
composer install --no-dev --optimize-autoloader,避免因require-dev引入不稳定依赖导致意外覆盖 - 禁用 Xdebug 警告干扰校验输出(尤其 CI):
COMPOSER_DISABLE_XDEBUG_WARN=1 composer install --dry-run --verbose
- 关键项目可在
composer.json中加"config": {"secure-http": true, "lock": true},强制要求 https 源和 lock 文件存在,减少中间人劫持可能 - 更进一步:用
composer validate --strict检查composer.json合法性,防止因语法错误导致解析异常、跳过校验逻辑
hash 校验本质是静态快照比对,它无法防御运行时注入或符号链接污染。真正可靠的防护,是在 CI 中坚持 clean build + --dry-run 校验,并杜绝任何手动 touch vendor/ 的操作习惯。
