Nueva herramienta para descubrir problemas de seguridad en proyectos PHP

SensioLabs, la empresa responsable del proyecto Symfony, acaba de presentar su último servicio: Security Advisories Checker. El objetivo de este proyecto es identificar aquellas librerías, paquetes, componentes o bundles peligrosos que estás utilizando en tus proyectos.

Su funcionamiento se basa en analizar el archivo composer.lock de tu proyecto, que es donde se almacena la información sobre las versiones exactas de cada dependencia que utilizas. A partir de esa información, busca en una base de datos de vulnerabilidades de seguridad y te indica si alguna de esas dependencias contiene errores de seguridad importantes.

Aunque todavía está en beta, puedes utilizar el servicio de tres formas:

  1. Subiendo el archivo composer.lock directamente a la interfaz web del proyecto en security.sensiolabs.org.
  2. Descargándote la aplicación security-checker y utilizando el comando security:check que incluye.
  3. Realizando peticiones a la API del servicio.

Por el momento el proyecto detecta vulnerabilidades en proyectos que utilicen Symfony, Zend Framework, Doctrine y algunos de los bundles más importantes de Symfony. La base de datos de vulnerabilidades es pública y la puedes consultar en github.com/sensiolabs/security-advisories.

Según las estadísticas públicas del proyecto, de los 200 primeros archivos composer.lock analizados, 95 tenían algún problema grave de seguridad.

Fuente: Don't use PHP libraries with known security issues

Comentarios

  1. Genial! Una herramienta valiosisima! Ademas obliga a mejorar la calidad de los bundles que se distribuyen.

    Saludos,

    Brian Debuire el 20 de febrero de 2013 15:29:54

Este artículo ya no permite añadir más comentarios.
¿Por qué? Los artículos cierran sus comentarios automáticamente unos meses después de su publicación para asegurar que estos sigan siendo relevantes.

Compartir en

Publicada el

19 de febrero de 2013

Descargas totales de Symfony

591.160.073

Ver descargas en tiempo real

Síguenos en @symfony_es para acceder a las últimas noticias.