使用 composer 检查 php 项目中已知漏洞的工具

Posted

技术标签:

【中文标题】使用 composer 检查 php 项目中已知漏洞的工具【英文标题】:Tool to check known vulnerabilities in php project using composer 【发布时间】:2016-12-29 16:02:15 【问题描述】:

我正在开发一个使用 composer 的 php 项目,但其中一些依赖项非常旧,包括 php 版本。我们正试图说服客户端升级 php 的版本以及所有其他依赖项。我们想对现有的依赖项进行分析,并寻找已知的漏洞。

是否有任何可用于运行 dependency check 的 php 工具?

我已经使用 bundle audit 对 ruby​​ 项目进行了此操作,但我无法找到类似的 php 工具。

【问题讨论】:

【参考方案1】:

好吧,有来自 Roave (https://github.com/Roave/SecurityAdvisories) 的 Composer 包,但有关库的报告完全取决于项目。它检查来自此存储库的数据库:https://github.com/FriendsOfPHP/security-advisories

许多主要项目都在此处发布了它们的问题,但由于它是自愿的,它可能不会像您希望的那样广泛传播。希望这会有所帮助。

【讨论】:

这是目前可能的最佳答案。

以上是关于使用 composer 检查 php 项目中已知漏洞的工具的主要内容,如果未能解决你的问题,请参考以下文章

composer如何检查php版本?

Composer基本安装步骤

Composer & PHPUnit 安装记录

composer.json:项目安装

如何在纯PHP项目中使用下载的库和composer?

检查 sessionid 已知的 PHP 会话是不是处于活动状态