Olyan elsősorban open toolt keresek, amivel lehetséges security szempontból elemezni egy nyers php kódot (használt függvények, megoldások...stb). Mit használnak erre a feladatra?
Hozzászólások
SonarQube vagy semgrep szerintem, amiben van PHP SAST, legalábbis én ezeket láttam, ahol volt PHP és SAST.
Meg is van, példának írtam, mivel nem vagyok PHP programozó. Olyan eszközt keresek ami mint egy owasp leteszteli magát a nyers PHP kódot (tehát nem funkcionalitásában frontend részről) biztonsági hibák után kutatva
Hozzászólások
SonarQube vagy semgrep szerintem, amiben van PHP SAST, legalábbis én ezeket láttam, ahol volt PHP és SAST.
https://iotguru.cloud
Ket tool jut eszembe:
https://phpmd.org/
https://phpstan.org/
Ezekkel korbe lehet bastyazni a kodot megfeleloen, mint elsodleges vedelmi vonal, git hookokra is ra tudod tenni.
Leginkabb composer audit, ez segit a kulso fuggosegeket monitorozni.
Mit ertesz amugy security szempont alatt? Kulso fuggoseg? Kod struktura? Esetleg Docker image kepben van?
Igen, külső függőségekre, használt függvényekre (pl fopen, eval...stb) és midnen oylanra, amit manapság "nem kéne".
Aláírás _Franko_ miatt törölve.
RIP Jákub.
neut @
Hat ez igy eleg altalanos dolog, erre nehez konkretumot mondani.
Lehet, hogy rosszul emlekszem, de mint ha lett volna lehetoseg az ilyen szarokat kitiltani php.ini szintrol. Ez megszunt, vagy nem is volt soha?
A strange game. The only winning move is not to play. How about a nice game of chess?
Ez az: https://www.php.net/manual/en/ini.core.php#ini.disable-functions
Meg is van, példának írtam, mivel nem vagyok PHP programozó. Olyan eszközt keresek ami mint egy owasp leteszteli magát a nyers PHP kódot (tehát nem funkcionalitásában frontend részről) biztonsági hibák után kutatva
Aláírás _Franko_ miatt törölve.
RIP Jákub.
neut @