使用 composer 检查 php 项目中已知漏洞的工具
Posted
技术标签:
【中文标题】使用 composer 检查 php 项目中已知漏洞的工具【英文标题】:Tool to check known vulnerabilities in php project using composer 【发布时间】:2016-12-29 16:02:15 【问题描述】:我正在开发一个使用 composer 的 php 项目,但其中一些依赖项非常旧,包括 php 版本。我们正试图说服客户端升级 php 的版本以及所有其他依赖项。我们想对现有的依赖项进行分析,并寻找已知的漏洞。
是否有任何可用于运行 dependency check 的 php 工具?
我已经使用 bundle audit 对 ruby 项目进行了此操作,但我无法找到类似的 php 工具。
【问题讨论】:
【参考方案1】:好吧,有来自 Roave (https://github.com/Roave/SecurityAdvisories) 的 Composer 包,但有关库的报告完全取决于项目。它检查来自此存储库的数据库:https://github.com/FriendsOfPHP/security-advisories
许多主要项目都在此处发布了它们的问题,但由于它是自愿的,它可能不会像您希望的那样广泛传播。希望这会有所帮助。
【讨论】:
这是目前可能的最佳答案。以上是关于使用 composer 检查 php 项目中已知漏洞的工具的主要内容,如果未能解决你的问题,请参考以下文章