Nueva herramienta para descubrir problemas de seguridad en proyectos PHP
SensioLabs, la empresa responsable del proyecto Symfony, acaba de presentar su último servicio: Security Advisories Checker. El objetivo de este proyecto es identificar aquellas librerías, paquetes, componentes o bundles peligrosos que estás utilizando en tus proyectos.
Su funcionamiento se basa en analizar el archivo composer.lock de tu proyecto, que es donde se almacena la información sobre las versiones exactas de cada dependencia que utilizas. A partir de esa información, busca en una base de datos de vulnerabilidades de seguridad y te indica si alguna de esas dependencias contiene errores de seguridad importantes.
Aunque todavía está en beta, puedes utilizar el servicio de tres formas:
- Subiendo el archivo
composer.lockdirectamente a la interfaz web del proyecto en security.sensiolabs.org. - Descargándote la aplicación security-checker y utilizando el comando
security:checkque incluye. - Realizando peticiones a la API del servicio.
Por el momento el proyecto detecta vulnerabilidades en proyectos que utilicen Symfony, Zend Framework, Doctrine y algunos de los bundles más importantes de Symfony. La base de datos de vulnerabilidades es pública y la puedes consultar en github.com/sensiolabs/security-advisories.
Según las estadísticas públicas del proyecto, de los 200 primeros archivos composer.lock analizados, 95 tenían algún problema grave de seguridad.
Fuente: Don't use PHP libraries with known security issues
Comentarios
-
#1
Genial! Una herramienta valiosisima! Ademas obliga a mejorar la calidad de los bundles que se distribuyen.
Saludos,
Este artículo ya no permite añadir más comentarios.
¿Por qué? Los artículos cierran sus comentarios automáticamente
unos meses después de su publicación para asegurar que estos sigan
siendo relevantes.
Proyectos Symfony destacados
La forma más sencilla de generar el backend de tus aplicaciones Symfony. Ver más
Síguenos en @symfony_es para acceder a las últimas noticias.