php version audit

Audit versi PHP adalah alat kenyamanan untuk dengan mudah memeriksa versi PHP yang diberikan terhadap daftar eksploitasi CVE yang diperbarui secara teratur, rilis baru, dan tanggal akhir kehidupan.

Audit Versi PHP bukan: Eksploitasi Deteksi/Mitigasi, Pelacakan Versi Spesifik Vendor, Pengganti untuk Tetap Terinformasikan tentang Rilis PHP dan Eksploitasi Keamanan.

• Fitur
• Contoh
• Penggunaan
  • Buruh pelabuhan
  • Cli
  • Doa Langsung
  • Aturan JSON
  • Opsi
• Keluaran
• Tujuan proyek
• Ucapan Terima Kasih & Lisensi

• Daftar CVE yang Diketahui untuk versi PHP yang diberikan
• Periksa versi runtime PHP, atau versi yang disediakan
• Tampilkan tanggal akhir kehidupan untuk versi PHP tertentu
• Tampilkan rilis baru untuk versi PHP tertentu dengan spesifisitas yang dapat dikonfigurasi (terbaru/minor/patch)
  • Tambalan: 7.3.0 -> 7.3.33
  • Minor: 7.3.0 -> 7.4.27
  • Terbaru: 7.3.0 -> 8.1.1
• Aturan diperbarui secara otomatis dua kali sehari. Informasi bersumber langsung dari php.net - Anda tidak akan pernah menunggu seseorang seperti saya untuk menggabungkan permintaan tarik sebelum mendapatkan informasi patch terbaru.
• Beberapa antarmuka: CLI (via PHP Composer), Docker, Impor Kode Langsung
• Mudah skrip untuk digunakan dengan alur kerja CI/CD. Semua output Docker/CLI berada dalam format JSON untuk dikonsumsi dengan alat favorit Anda - seperti JQ.
• Kondisi keluar yang dapat dikonfigurasi. Gunakan bendera CLI seperti --fail-security untuk menetapkan kode keluar kegagalan jika versi PHP yang diberikan memiliki CVE yang diketahui atau tidak lagi menerima pembaruan keamanan.
• Nol dependensi

 docker run --rm -t lightswitch05/php-version-audit:latest --version=8.0.12
{
    "auditVersion": "8.0.12",
    "hasVulnerabilities": true,
    "hasSecuritySupport": true,
    "hasActiveSupport": true,
    "isLatestPatchVersion": false,
    "isLatestMinorVersion": false,
    "isLatestVersion": false,
    "latestPatchVersion": "8.0.14",
    "latestMinorVersion": "8.1.1",
    "latestVersion": "8.1.1",
    "activeSupportEndDate": "2022-11-26T00:00:00+0000",
    "securitySupportEndDate": "2023-11-26T00:00:00+0000",
    "rulesLastUpdatedDate": "2022-01-18T02:13:52+0000",
    "vulnerabilities": {
        "CVE-2021-21707": {
            "id": "CVE-2021-21707",
            "baseScore": 5.3,
            "publishedDate": "2021-11-29T07:15:00+0000",
            "lastModifiedDate": "2022-01-04T16:12:00+0000",
            "description": "In PHP versions 7.3.x below 7.3.33, 7.4.x below 7.4.26 and 8.0.x below 8.0.13, certain XML parsing functions, like simplexml_load_file(), URL-decode the filename passed to them. If that filename contains URL-encoded NUL character, this may cause the function to interpret this as the end of the filename, thus interpreting the filename differently from what the user intended, which may lead it to reading a different file than intended."
        }
    }
}

Berlari dengan Docker adalah cara yang disukai dan termudah untuk menggunakan audit versi PHP.

Periksa versi PHP tertentu menggunakan Docker:

 docker run --rm -t lightswitch05/php-version-audit:latest --version=8.1.1

Periksa versi PHP host menggunakan Docker:

 docker run --rm -t lightswitch05/php-version-audit:latest --version=$(php -r 'echo phpversion();')

Jalankan di belakang proxy HTTPS (untuk digunakan pada jaringan terbatas). Membutuhkan pemasangan volume direktori dengan sertifikat tepercaya Anda (dengan ekstensi .crt)-lihat pembaruan-ca-sertifikat untuk lebih jelasnya.

 docker run --rm -t -e https_proxy='https://your.proxy.server:port/' --volume /full/path/to/trusted/certs/directory:/usr/local/share/ca-certificates lightswitch05/php-version-audit:latest --version=8.1.1

Tidak menggunakan Docker? Bukan masalah. Ini adalah beberapa langkah lagi, tetapi mudah dijalankan secara langsung.

Instal paket melalui komposer:

 composer require lightswitch05/php-version-audit:~1.0

Jalankan skrip PHP, memeriksa versi run-time dari PHP:

 ./vendor/bin/php-version-audit

Menghasilkan kode keluar jika ada cves yang ditemukan:

 ./vendor/bin/php-version-audit --fail-security

Ingin berintegrasi dengan Audit Versi PHP? Itu pasti mungkin. Perhatian kata, ini adalah rilis yang sangat awal. Saya tidak punya rencana untuk melanggar perubahan, tetapi saya juga tidak berkomitmen untuk menjaga antarmuka apa adanya jika ada fitur baru untuk diimplementasikan. Docker/CLI tentu merupakan metode yang disukai daripada doa langsung.

 $phpVersionAudit = new lightswitch05PhpVersionAuditApplication(phpversion(), false);
$phpVersionAudit->hasVulnerabilities(); #=> true
$phpVersionAudit->getLatestPatchVersion(); #=> '8.1.1'

Data yang digunakan untuk mengarahkan audit versi PHP secara otomatis diperbarui secara teratur dan di -host di halaman GitHub. Ini adalah daging dan kentang asli audit versi PHP, dan Anda dapat mengkonsumsinya secara langsung untuk digunakan di alat lain. Jika Anda memilih untuk melakukan ini, harap hormati lisensi proyek dengan memberikan pemberitahuan atribusi yang tepat. Juga, saya meminta implementasi apa pun untuk membaca lastUpdatedDate dan gagal jika sudah ketinggalan zaman (2+ minggu). Ini seharusnya tidak terjadi karena diperbarui secara otomatis ... tetapi kita semua tahu betapa rapuhnya perangkat lunak.

Dapatkan versi rilis PHP 8.1 terbaru langsung dari aturan menggunakan Curl dan JQ:

 curl -s https://www.github.developerdan.com/php-version-audit/rules-v1.json | jq '.latestVersions["8.1"]'

 usage: php-version-audit        [--help] [--version=PHP_VERSION]
                                [--fail-security] [--fail-support]
                                [--fail-patch] [--fail-latest]
                                [--no-update] [--silent]
                                [--v]

optional arguments:
--help                          show this help message and exit.
--version                       set the PHP Version to run against. Defaults to the runtime version. This is required when running with docker.
--fail-security                 generate a 10 exit code if any CVEs are found, or security support has ended.
--fail-support                  generate a 20 exit code if the version of PHP no longer gets active (bug) support.
--fail-patch                    generate a 30 exit code if there is a newer patch-level release.
--fail-latest                   generate a 40 exit code if there is a newer release.
--no-update                     do not download the latest rules. NOT RECOMMENDED!
--silent                        do not write any error messages to STDERR.
--v                             Set verbosity. v=warnings, vv=info, vvv=debug. Default is error. All logging writes to STDERR.

• AuditVersion: String - Versi PHP yang sedang diaudit.
• HASVULNERABILITAS: BOOL - Jika auditversi memiliki CVE yang diketahui atau tidak.
• HassecuritySupport: Bool - Jika auditversi masih menerima pembaruan keamanan.
• HasActivesupport: Bool - Jika auditversi masih menerima dukungan aktif (pembaruan bug).
• IsLatestPatchVersion: Bool - Jika AuditVersion adalah rilis tingkat tambalan terbaru (8.0.x).
• IsLatestMinorVersion: Bool - Jika auditversi adalah rilis tingkat minor terbaru (8.xx).
• IsLatestVersion: Bool - Jika auditversi adalah rilis terbaru (xxx).
• LEBIHTPATCHVersion: String - Versi level patch terbaru untuk auditversion.
• LateSMinorVersion: String - Versi tingkat minor terbaru untuk auditversion.
• LateSversion: String - Versi PHP terbaru.
• ActiveSportendDate: String | NULL - ISO8601 Tanggal diformat untuk akhir dukungan aktif untuk auditversion (perbaikan bug).
• SecuritySupportendDate: String - ISO8601 Tanggal diformat untuk akhir Dukungan Keamanan untuk AuditVersion.
• RulesLastupDatedDate: String - ISO8601 Tanggal Diformat untuk Terakhir Kali Aturan dibandingkan secara otomatis (dua kali sehari) ..
• Kerentanan: Objek - CVE diketahui memengaruhi auditversi dengan detail tentang CVE. Detail CVE mungkin nol untuk CVE yang baru ditemukan.

• Selalu gunakan informasi pembaruan-ke-tanggal dan gagal jika menjadi terlalu basi. Karena alat ini dirancang untuk membantu penggunanya tetap mendapat informasi, pada gilirannya harus gagal jika menjadi usang.
• Gagal jika informasi yang diminta tidak tersedia. mantan. Mendapatkan Tanggal Akhir Dukungan PHP Versi 6.0, atau 5.7.0. Sekali lagi, karena alat ini dirancang untuk membantu penggunanya tetap mendapat informasi, pada gilirannya harus gagal jika informasi yang diminta tidak tersedia.
• Bekerja di jaringan terbuka dan tertutup (selama alat ini mutakhir).
• Jejak minimal dan dependensi.
• Dukungan runtime untuk versi PHP tertua yang didukung. Jika Anda menggunakan alat ini dengan versi PHP yang tidak didukung, maka Anda sudah memiliki semua jawaban yang dapat diberikan oleh alat ini: Ya, Anda memiliki kerentanan dan kedaluwarsa. Tentu saja itu hanya untuk run-time, masih merupakan tujuan dari proyek ini untuk menyediakan informasi tentang versi PHP yang masuk akal.

• Proyek ini dirilis di bawah Lisensi Apache 2.0.
• Keakuratan informasi yang diberikan oleh proyek ini tidak dapat diverifikasi atau dijamin. Semua fungsi disediakan sebagai kenyamanan saja dan tidak boleh digunakan untuk keandalan, akurasi, atau ketepatan waktu.
• Logo ini dibuat menggunakan logo PHP Colin Viebrock sebagai gambar dasar, dirilis di bawah Creative Commons Attribution-Share sama 4.0 International. Logo telah dimodifikasi dari bentuk aslinya untuk memasukkan grafik overlay.
• Proyek ini dan penggunaan logo PHP yang dimodifikasi tidak didukung oleh Colin Viebrock.
• Proyek ini dan penggunaan nama PHP tidak didukung oleh kelompok PHP.
• Detail dan deskripsi CVE diunduh dari National Institute of Standard dan Database Kerentanan Nasional Teknologi. Proyek ini dan penggunaan informasi CVE tidak didukung oleh NIST atau NVD. Detail CVE disediakan sebagai kenyamanan saja. Keakuratan informasi tidak dapat diverifikasi.
• Detail rilis PHP dan tanggal dukungan diuraikan dari changelog (4, 5, 7, 8) serta versi yang didukung dan tanggal EOL. Keakuratan informasi tidak dapat diverifikasi.