我正在做一个php项目,使用composer,但一些依赖关系是非常旧的,包括php版本。我们正试图说服客户升级php的版本以及所有其他依赖项。我们想对现有的依赖项进行分析,并寻找已知的漏洞。
是否有任何工具可用于php运行依赖检查?
我已经在ruby项目中使用bundle审计完成了这个,但是我还没有找到一个类似的工具用于php。
嗯,有来自Roave (https://github.com/Roave/SecurityAdvisories)的Composer包,但是关于库的报告完全取决于项目。它检查来自这个存储库的数据库:https://github.com/FriendsOfPHP/security-advisories
许多主要的项目都在那里发布了他们的问题,但由于它是自愿的,它可能不会像你希望的那样广泛传播。
由于这个问题相当老——可能不及时回答。但无论如何- composer(版本2.4)提供了一个自动检查漏洞的命令- composer audit
更多信息-在Composer网站