php version audit

PHPバージョン監査は、特定のPHPバージョンを、定期的に更新されたCVEエクスプロイト、新しいリリース、および終了日のリストに対して簡単に確認するための利便性ツールです。

PHPバージョンの監査はそうではありません。エクスプロイト検出/緩和、ベンダー固有のバージョントラッキング、PHPリリースとセキュリティエクスプロイトに関する情報を提供するための代替品です。

• 特徴
• 例
• 使用法
  • Docker
  • cli
  • 直接招待
  • JSONルール
  • オプション
• 出力
• プロジェクトの目標
• 謝辞とライセンス

• PHPの特定のバージョンの既知のCVEをリストします
• PHPのランタイムバージョンまたは供給バージョンのいずれかを確認してください
• PHPの特定のバージョンの終了日を表示します
• 設定可能な特異性（最新/マイナー/パッチ）を使用して、特定のバージョンのPHPの新しいリリースを表示
  • パッチ：7.3.0-> 7.3.33
  • マイナー：7.3.0-> 7.4.27
  • 最新：7.3.0-> 8.1.1
• ルールは1日2回自動的に更新されました。情報はphp.netから直接供給されます - 最新のパッチ情報を取得する前に、私のような人がプルリクエストをマージするのを待つことは決してありません。
• 複数のインターフェイス：CLI（PHP Composerを介して）、Docker、直接コードインポート
• CI/CDワークフローで使用するために簡単にスクリプトできます。すべてのDocker/CLI出力は、JQなどのお気に入りのツールで消費されるJSON形式です。
• 構成可能な出口条件。 PHPの指定されたバージョンに既知のCVEがあるか、セキュリティ更新を受信して​​いない場合、障害exitコードを設定するために、 --fail-securityのようなCLIフラグを使用します。
• ゼロ依存関係

 docker run --rm -t lightswitch05/php-version-audit:latest --version=8.0.12
{
    "auditVersion": "8.0.12",
    "hasVulnerabilities": true,
    "hasSecuritySupport": true,
    "hasActiveSupport": true,
    "isLatestPatchVersion": false,
    "isLatestMinorVersion": false,
    "isLatestVersion": false,
    "latestPatchVersion": "8.0.14",
    "latestMinorVersion": "8.1.1",
    "latestVersion": "8.1.1",
    "activeSupportEndDate": "2022-11-26T00:00:00+0000",
    "securitySupportEndDate": "2023-11-26T00:00:00+0000",
    "rulesLastUpdatedDate": "2022-01-18T02:13:52+0000",
    "vulnerabilities": {
        "CVE-2021-21707": {
            "id": "CVE-2021-21707",
            "baseScore": 5.3,
            "publishedDate": "2021-11-29T07:15:00+0000",
            "lastModifiedDate": "2022-01-04T16:12:00+0000",
            "description": "In PHP versions 7.3.x below 7.3.33, 7.4.x below 7.4.26 and 8.0.x below 8.0.13, certain XML parsing functions, like simplexml_load_file(), URL-decode the filename passed to them. If that filename contains URL-encoded NUL character, this may cause the function to interpret this as the end of the filename, thus interpreting the filename differently from what the user intended, which may lead it to reading a different file than intended."
        }
    }
}

Dockerを使用して実行することは、PHPバージョン監査を使用するのに好ましい最も簡単な方法です。

Dockerを使用してPHPの特定のバージョンを確認してください。

 docker run --rm -t lightswitch05/php-version-audit:latest --version=8.1.1

Dockerを使用してホストのPHPバージョンを確認してください。

 docker run --rm -t lightswitch05/php-version-audit:latest --version=$(php -r 'echo phpversion();')

HTTPSプロキシの後ろに実行します（制限付きネットワークで使用します）。信頼できる証明書を備えたディレクトリのボリュームマウント（.crt拡張機能付き）が必要です。詳細については、更新CAの認証を参照してください。

 docker run --rm -t -e https_proxy='https://your.proxy.server:port/' --volume /full/path/to/trusted/certs/directory:/usr/local/share/ca-certificates lightswitch05/php-version-audit:latest --version=8.1.1

Dockerを使用していませんか？問題ではありません。さらにいくつかのステップですが、直接実行するのも簡単です。

Composer経由でパッケージをインストールします。

 composer require lightswitch05/php-version-audit:~1.0

PHPスクリプトを実行し、PHPの実行時間バージョンを確認します。

 ./vendor/bin/php-version-audit

CVEが見つかった場合は、出口コードを生成します。

 ./vendor/bin/php-version-audit --fail-security

PHPバージョンの監査と統合したいですか？それは確かに可能です。一言で言えば、これは非常に早いリリースです。変更を破る計画はありませんが、実装する新しい機能がある場合、インターフェイスをそのまま維持することにもコミットしていません。 Docker/CLIは、確かに直接の呼び出しよりも好ましい方法です。

 $phpVersionAudit = new lightswitch05PhpVersionAuditApplication(phpversion(), false);
$phpVersionAudit->hasVulnerabilities(); #=> true
$phpVersionAudit->getLatestPatchVersion(); #=> '8.1.1'

PHPバージョンの監査を促進するために使用されるデータは、定期的に自動的に更新され、GitHubページでホストされています。これは、PHPバージョン監査の真の肉とポテトであり、他のツールで使用するために直接消費できます。これを選択した場合は、適切な帰属通知を提供して、プロジェクトライセンスを尊重してください。また、実装には、 lastUpdatedDateを読み取り、時代遅れになった場合に失敗するように依頼します（2週間以上）。自動的に更新されるため、これは起こりません...しかし、私たちは皆、脆弱なソフトウェアがどれほど脆弱であるかを知っています。

CurlとJQを使用して、最新のPHP 8.1リリースバージョンをルールから直接入手してください。

 curl -s https://www.github.developerdan.com/php-version-audit/rules-v1.json | jq '.latestVersions["8.1"]'

 usage: php-version-audit        [--help] [--version=PHP_VERSION]
                                [--fail-security] [--fail-support]
                                [--fail-patch] [--fail-latest]
                                [--no-update] [--silent]
                                [--v]

optional arguments:
--help                          show this help message and exit.
--version                       set the PHP Version to run against. Defaults to the runtime version. This is required when running with docker.
--fail-security                 generate a 10 exit code if any CVEs are found, or security support has ended.
--fail-support                  generate a 20 exit code if the version of PHP no longer gets active (bug) support.
--fail-patch                    generate a 30 exit code if there is a newer patch-level release.
--fail-latest                   generate a 40 exit code if there is a newer release.
--no-update                     do not download the latest rules. NOT RECOMMENDED!
--silent                        do not write any error messages to STDERR.
--v                             Set verbosity. v=warnings, vv=info, vvv=debug. Default is error. All logging writes to STDERR.

• 監査：文字列 - 監査中のPHPのバージョン。
• hasvulnerability：bool-監査に既知のCVEがあるかどうか。
• hassecuritySupport：bool-監査がまだセキュリティの更新を受信して​​いる場合。
• hasactiveSupport：bool-監査がまだアクティブなサポートを受けている場合（バグの更新）。
• ISLATESTPATCHVERSION：BOOL -Auditversionが最新のパッチレベルリリース（8.0.x）の場合。
• IslatestMinorversion：bool-監査が最新のマイナーレベルリリース（8.xx）である場合。
• IslateStversion：Bool -Auditversionが最新リリース（XXX）の場合。
• 最新のパッチバージョン：文字列 - 監査用の最新のパッチレベルバージョン。
• 最新のminorversion：文字列 - 監査用の最新のマイナーレベルバージョン。
• 最新のVersion：文字列 - 最新のPHPバージョン。
• ActiveSupportEnddate：String | null -ISO8601フォーマット日付監査のアクティブサポートの終了（バグ修正）。
• SecuritySuptortEnddate：String -ISO8601監査サポートの終了のためのフォーマット日付。
• RulesLastUpdatedDate：文字列-ISO8601フォーマット日付は、ルールが自動化された（1日2回）。
• 脆弱性：オブジェクト - CVEに関する詳細を伴う監査に影響することが知られているCVE。 CVEの詳細は、最近発見されたCVEのヌルかもしれません。

• 日付の更新情報を常に使用し、古くなりすぎた場合は失敗します。このツールは、ユーザーが通知を維持するのに役立つように設計されているため、時代遅れになった場合は順番に失敗する必要があります。
• 要求された情報が利用できない場合は失敗します。元。 PHPバージョン6.0のサポート終了日、または5.7.0を取得します。繰り返しになりますが、このツールはユーザーが情報を維持するのに役立つように設計されているため、要求された情報が利用できない場合、順番に失敗する必要があります。
• オープンネットワークとクローズドネットワークの両方で動作します（ツールが最新の限り）。
• 最小限のフットプリントと依存関係。
• PHPの最古のバージョンのランタイムサポート。サポートされていないバージョンのPHPを使用してこのツールを使用している場合、このツールが提供できるすべての答えがすでにあります。はい、脆弱性があり、古くなっています。もちろん、それは実行時だけのものですが、PHPの合理的なバージョンに関する情報を提供することは、このプロジェクトの目標です。

• このプロジェクトは、Apacheライセンス2.0でリリースされます。
• このプロジェクトが提供する情報の正確性は、検証または保証することはできません。すべての機能は利便性としてのみ提供され、信頼性、正確性、または時間厳守に使用されるべきではありません。
• このロゴは、Colin ViebrockのPHPロゴをベースイメージとして使用して作成され、Creative Commons Attribution-Share 4.0 Internationalの下でリリースされました。ロゴは、オーバーレイグラフィックを含むように元のフォームから変更されています。
• このプロジェクトと修正されたPHPロゴの使用は、Colin Viebrockによって承認されていません。
• このプロジェクトとPHP名の使用は、PHPグループによって承認されていません。
• CVEの詳細と説明は、国立標準技術研究所の国立脆弱性データベースからダウンロードされています。このプロジェクトとCVE情報の使用は、NISTまたはNVDによって承認されていません。 CVEの詳細は、利便性としてのみ提供されます。情報の精度を検証することはできません。
• PHPのリリースの詳細とサポート日は、Changelogs（4、5、7、8）とサポートされているバージョンとEOL日付から解析されます。情報の精度を検証することはできません。