使用 composer 检查 php 项目中已知漏洞的工具

Posted 2023-02-19

【中文标题】使用 composer 检查 php 项目中已知漏洞的工具

【英文标题】：Tool to check known vulnerabilities in php project using composer

【发布时间】：2016-12-29 16:02:15

【问题描述】：

我正在开发一个使用 composer 的 php 项目，但其中一些依赖项非常旧，包括 php 版本。我们正试图说服客户端升级 php 的版本以及所有其他依赖项。我们想对现有的依赖项进行分析，并寻找已知的漏洞。

是否有任何可用于运行 dependency check 的 php 工具？

我已经使用 bundle audit 对 ruby​​ 项目进行了此操作，但我无法找到类似的 php 工具。

【参考方案1】：

好吧，有来自 Roave (https://github.com/Roave/SecurityAdvisories) 的 Composer 包，但有关库的报告完全取决于项目。它检查来自此存储库的数据库：https://github.com/FriendsOfPHP/security-advisories

许多主要项目都在此处发布了它们的问题，但由于它是自愿的，它可能不会像您希望的那样广泛传播。希望这会有所帮助。

【讨论】：

这是目前可能的最佳答案。