SymfonyCon, la conferencia más grande del mundo sobre Symfony, se celebra este año en Madrid del 27 al 29 de Noviembre. Compra tu entrada

Nueva herramienta para descubrir problemas de seguridad en proyectos PHP

SensioLabs, la empresa responsable del proyecto Symfony, acaba de presentar su último servicio: Security Advisories Checker. El objetivo de este proyecto es identificar aquellas librerías, paquetes, componentes o bundles peligrosos que estás utilizando en tus proyectos.

Su funcionamiento se basa en analizar el archivo composer.lock de tu proyecto, que es donde se almacena la información sobre las versiones exactas de cada dependencia que utilizas. A partir de esa información, busca en una base de datos de vulnerabilidades de seguridad y te indica si alguna de esas dependencias contiene errores de seguridad importantes.

Aunque todavía está en beta, puedes utilizar el servicio de tres formas:

  1. Subiendo el archivo composer.lock directamente a la interfaz web del proyecto en security.sensiolabs.org.
  2. Descargándote la aplicación security-checker y utilizando el comando security:check que incluye.
  3. Realizando peticiones a la API del servicio.

Por el momento el proyecto detecta vulnerabilidades en proyectos que utilicen Symfony, Zend Framework, Doctrine y algunos de los bundles más importantes de Symfony. La base de datos de vulnerabilidades es pública y la puedes consultar en github.com/sensiolabs/security-advisories.

Según las estadísticas públicas del proyecto, de los 200 primeros archivos composer.lock analizados, 95 tenían algún problema grave de seguridad.

Fuente: Don't use PHP libraries with known security issues

Comentarios

  1. Genial! Una herramienta valiosisima! Ademas obliga a mejorar la calidad de los bundles que se distribuyen.

    Saludos,

    Brian Debuire el 20 de febrero de 2013 15:29:54

Publicada el

19 de febrero de 2013

Síguenos en Twitter para acceder a más noticias.