使用composer检查php项目中已知漏洞的工具

b1payxdu  于 2023-05-05  发布在  PHP
关注(0)|答案(2)|浏览(209)

我正在做一个使用composer的php项目,但一些依赖项非常旧,包括php版本。我们正试图说服客户端升级php的版本,并相应地升级所有其他依赖项。我们希望对现有的依赖关系进行分析,并查找这些依赖关系上的已知漏洞。
有没有运行dependency check的php工具?
我曾经用bundle audit在ruby项目中做过这个,但是我还没有找到一个类似的php工具。

rbpvctlc

rbpvctlc1#

好吧,有来自Roave(https://github.com/Roave/SecurityAdvisories)的Composer包,但是关于库的报告完全取决于项目。它检查来自此存储库的数据库:https://github.com/FriendsOfPHP/security-advisories
许多主要的项目都有他们的问题张贴在那里,但由于它是相当自愿的,它可能不会像你希望的那样广泛传播。希望这能帮上忙。

jv2fixgn

jv2fixgn2#

由于这个问题很老-可能回答不及时。但无论如何- composer(2.4版)提供了一个自动检查漏洞的命令-composer audit
更多信息-在Composer网站上

相关问题