我正在做一个使用composer的php项目,但一些依赖项非常旧,包括php版本。我们正试图说服客户端升级php的版本,并相应地升级所有其他依赖项。我们希望对现有的依赖关系进行分析,并查找这些依赖关系上的已知漏洞。
有没有运行dependency check的php工具?
我曾经用bundle audit在ruby项目中做过这个,但是我还没有找到一个类似的php工具。
我正在做一个使用composer的php项目,但一些依赖项非常旧,包括php版本。我们正试图说服客户端升级php的版本,并相应地升级所有其他依赖项。我们希望对现有的依赖关系进行分析,并查找这些依赖关系上的已知漏洞。
有没有运行dependency check的php工具?
我曾经用bundle audit在ruby项目中做过这个,但是我还没有找到一个类似的php工具。
2条答案
按热度按时间rbpvctlc1#
好吧,有来自Roave(https://github.com/Roave/SecurityAdvisories)的Composer包,但是关于库的报告完全取决于项目。它检查来自此存储库的数据库:https://github.com/FriendsOfPHP/security-advisories
许多主要的项目都有他们的问题张贴在那里,但由于它是相当自愿的,它可能不会像你希望的那样广泛传播。希望这能帮上忙。
jv2fixgn2#
由于这个问题很老-可能回答不及时。但无论如何- composer(2.4版)提供了一个自动检查漏洞的命令-
composer audit
更多信息-在Composer网站上