我正在开发一个使用 composer 的 php 项目,但是一些依赖项非常旧,包括 php 版本。我们正试图说服客户升级 php 的版本,并因此升级所有其他依赖项。我们想对现有的依赖项进行分析,并寻找已知的漏洞。
是否有任何可用于运行 dependency check 的 php 工具?
我已经使用 bundle audit 对 ruby 项目完成了此操作,但我一直无法为 php 找到类似的工具。
好吧,Roave (https://github.com/Roave/SecurityAdvisories) 提供了 Composer 包,但是关于库的报告完全取决于项目。它检查此存储库中的数据库:https://github.com/FriendsOfPHP/security-advisories
许多主要项目都在那里发布了他们的问题,但由于它是自愿的,因此可能不会像您希望的那样广泛传播。希望这会有所帮助。