Sziasztok,
Olyan elsősorban open toolt keresek, amivel lehetséges security szempontból elemezni egy nyers php kódot (használt függvények, megoldások...stb). Mit használnak erre a feladatra?
- 432 megtekintés
Hozzászólások
SonarQube vagy semgrep szerintem, amiben van PHP SAST, legalábbis én ezeket láttam, ahol volt PHP és SAST.
- A hozzászóláshoz be kell jelentkezni
Ket tool jut eszembe:
Ezekkel korbe lehet bastyazni a kodot megfeleloen, mint elsodleges vedelmi vonal, git hookokra is ra tudod tenni.
Leginkabb composer audit, ez segit a kulso fuggosegeket monitorozni.
Mit ertesz amugy security szempont alatt? Kulso fuggoseg? Kod struktura? Esetleg Docker image kepben van?
- A hozzászóláshoz be kell jelentkezni
Igen, külső függőségekre, használt függvényekre (pl fopen, eval...stb) és midnen oylanra, amit manapság "nem kéne".
1904.04.08.
RIP Jákub.
neut @
- A hozzászóláshoz be kell jelentkezni
Hat ez igy eleg altalanos dolog, erre nehez konkretumot mondani.
- A hozzászóláshoz be kell jelentkezni
Lehet, hogy rosszul emlekszem, de mint ha lett volna lehetoseg az ilyen szarokat kitiltani php.ini szintrol. Ez megszunt, vagy nem is volt soha?
A strange game. The only winning move is not to play. How about a nice game of chess?
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
Meg is van, példának írtam, mivel nem vagyok PHP programozó. Olyan eszközt keresek ami mint egy owasp leteszteli magát a nyers PHP kódot (tehát nem funkcionalitásában frontend részről) biztonsági hibák után kutatva
1904.04.08.
RIP Jákub.
neut @
- A hozzászóláshoz be kell jelentkezni