security — инструмент для проверки известных уязвимостей в php проекте с помощью composer
Я работаю над проектом php, который использует composer, но некоторые зависимости очень старые, включая версию php. Мы пытаемся убедить клиента обновить версию php и, следовательно, все остальные зависимости. Мы хотели бы провести анализ существующих зависимостей и найти известные уязвимости в них.
Есть ли какие-либо инструменты для запуска php проверка зависимостей?
Я сделал это с помощью проектов ruby, используя групповой аудит но я не смог найти аналогичный инструмент для PHP.
Решение
Ну, есть пакет Composer от Roave (https://github.com/Roave/SecurityAdvisories) но отчетность по библиотекам полностью зависит от проекта. Он проверяет базу данных из этого хранилища: https://github.com/FriendsOfPHP/security-advisories
Многие крупные проекты публикуют свои выпуски, но, поскольку они довольно добровольные, они могут быть не такими распространенными, как вы надеетесь. Надеюсь это поможет.
Другие решения
Других решений пока нет …