php version audit

PHP 버전 감사는 정기적으로 업데이트 된 CVE 익스플로잇 목록, 새로운 릴리스 및 수명 종료 날짜에 대해 주어진 PHP 버전을 쉽게 확인하는 편의 도구입니다.

PHP 버전 감사는 다음과 같습니다. 탐지/완화, 공급 업체 별 버전 추적, PHP 릴리스 및 보안 악용에 대한 정보를 유지하기위한 교체품.

• 특징
• 예
• 용법
  • 도커
  • 클리
  • 직접 호출
  • JSON 규칙
  • 옵션
• 산출
• 프로젝트 목표
• 승인 및 라이센스

• 주어진 버전의 PHP에 대해 알려진 CVE를 나열하십시오
• PHP의 런타임 버전 또는 제공된 버전을 확인하십시오.
• 주어진 버전의 PHP에 대한 수명 종료 날짜를 표시합니다
• 구성 가능한 특이성 (최신/마이너/패치)을 갖춘 주어진 PHP 버전에 대한 새 릴리스 표시
  • 패치 : 7.3.0-> 7.3.33
  • 미성년자 : 7.3.0-> 7.4.27
  • 최신 : 7.3.0-> 8.1.1
• 규칙은 하루에 두 번 자동 업데이트되었습니다. 정보는 php.net에서 직접 제공됩니다. 최신 패치 정보를 얻기 전에 나와 같은 사람이 풀 요청을 병합하기를 기다리지 않을 것입니다.
• 다중 인터페이스 : CLI (PHP Composer를 통해), Docker, 직접 코드 가져 오기
• CI/CD 워크 플로우와 함께 쉽게 스크립트 할 수 있습니다. 모든 Docker/CLI 출력은 JQ와 같은 좋아하는 도구와 함께 JSON 형식으로 소비됩니다.
• 구성 가능한 종료 조건. 주어진 버전의 PHP에 알려진 CVE가 있거나 더 이상 보안 업데이트를받지 않는 경우 --fail-security 와 같은 CLI 플래그를 사용하여 실패 종료 코드를 설정하십시오.
• 제로 의존성

 docker run --rm -t lightswitch05/php-version-audit:latest --version=8.0.12
{
    "auditVersion": "8.0.12",
    "hasVulnerabilities": true,
    "hasSecuritySupport": true,
    "hasActiveSupport": true,
    "isLatestPatchVersion": false,
    "isLatestMinorVersion": false,
    "isLatestVersion": false,
    "latestPatchVersion": "8.0.14",
    "latestMinorVersion": "8.1.1",
    "latestVersion": "8.1.1",
    "activeSupportEndDate": "2022-11-26T00:00:00+0000",
    "securitySupportEndDate": "2023-11-26T00:00:00+0000",
    "rulesLastUpdatedDate": "2022-01-18T02:13:52+0000",
    "vulnerabilities": {
        "CVE-2021-21707": {
            "id": "CVE-2021-21707",
            "baseScore": 5.3,
            "publishedDate": "2021-11-29T07:15:00+0000",
            "lastModifiedDate": "2022-01-04T16:12:00+0000",
            "description": "In PHP versions 7.3.x below 7.3.33, 7.4.x below 7.4.26 and 8.0.x below 8.0.13, certain XML parsing functions, like simplexml_load_file(), URL-decode the filename passed to them. If that filename contains URL-encoded NUL character, this may cause the function to interpret this as the end of the filename, thus interpreting the filename differently from what the user intended, which may lead it to reading a different file than intended."
        }
    }
}

Docker와 함께 실행하는 것은 PHP 버전 감사를 사용하는 가장 선호하고 가장 쉬운 방법입니다.

Docker를 사용하여 특정 버전의 PHP를 확인하십시오.

 docker run --rm -t lightswitch05/php-version-audit:latest --version=8.1.1

Docker를 사용하여 호스트의 PHP 버전을 확인하십시오.

 docker run --rm -t lightswitch05/php-version-audit:latest --version=$(php -r 'echo phpversion();')

HTTPS 프록시 뒤에 실행됩니다 (제한된 네트워크에서 사용). 신뢰할 수있는 인증서 (.CRT 확장)가있는 디렉토리의 볼륨 마운트가 필요합니다. 자세한 내용은 업데이트 CA 인증서를 참조하십시오.

 docker run --rm -t -e https_proxy='https://your.proxy.server:port/' --volume /full/path/to/trusted/certs/directory:/usr/local/share/ca-certificates lightswitch05/php-version-audit:latest --version=8.1.1

Docker를 사용하지 않습니까? 문제가 아닙니다. 몇 단계가 더 있지만 직접 실행하기가 쉽습니다.

작곡가를 통해 패키지 설치 :

 composer require lightswitch05/php-version-audit:~1.0

PHP 스크립트를 실행하여 PHP의 런타임 버전을 확인하십시오.

 ./vendor/bin/php-version-audit

CVE가 발견되면 종료 코드를 생성합니다.

 ./vendor/bin/php-version-audit --fail-security

PHP 버전 감사와 통합하고 싶으십니까? 확실히 가능합니다. 단어는 매우 초기 릴리스입니다. 변경 사항을 깨뜨릴 계획은 없지만 구현할 새로운 기능이있는 경우 인터페이스를 그대로 유지하기 위해 최선을 다하고 있습니다. Docker/CLI는 직접 호출보다 선호되는 방법입니다.

 $phpVersionAudit = new lightswitch05PhpVersionAuditApplication(phpversion(), false);
$phpVersionAudit->hasVulnerabilities(); #=> true
$phpVersionAudit->getLatestPatchVersion(); #=> '8.1.1'

PHP 버전 감사를 구동하는 데 사용되는 데이터는 정기적으로 자동으로 업데이트되며 GitHub 페이지에서 호스팅됩니다. 이것은 PHP 버전 감사의 실제 육류 및 포타토이며 다른 도구에 사용하기 위해 직접 소비 할 수 있습니다. 이를 선택한 경우 적절한 속성 통지를 제공하여 프로젝트 라이센스를 존중하십시오. 또한, 나는 구현에 lastUpdatedDate 읽고 (2 개 이상) 오래되지 않은 경우 실패하도록 요청합니다. 자동으로 업데이트되기 때문에 발생해서는 안됩니다. 그러나 우리는 모두 연약한 소프트웨어가 얼마나인지 알고 있습니다.

Curl 및 JQ를 사용하여 규칙에서 직접 최신 PHP 8.1 릴리스 버전을 얻으십시오.

 curl -s https://www.github.developerdan.com/php-version-audit/rules-v1.json | jq '.latestVersions["8.1"]'

 usage: php-version-audit        [--help] [--version=PHP_VERSION]
                                [--fail-security] [--fail-support]
                                [--fail-patch] [--fail-latest]
                                [--no-update] [--silent]
                                [--v]

optional arguments:
--help                          show this help message and exit.
--version                       set the PHP Version to run against. Defaults to the runtime version. This is required when running with docker.
--fail-security                 generate a 10 exit code if any CVEs are found, or security support has ended.
--fail-support                  generate a 20 exit code if the version of PHP no longer gets active (bug) support.
--fail-patch                    generate a 30 exit code if there is a newer patch-level release.
--fail-latest                   generate a 40 exit code if there is a newer release.
--no-update                     do not download the latest rules. NOT RECOMMENDED!
--silent                        do not write any error messages to STDERR.
--v                             Set verbosity. v=warnings, vv=info, vvv=debug. Default is error. All logging writes to STDERR.

• AuditVersion : String- 감사중인 PHP의 버전.
• hasvulnerabilities : bool -Auditversion에 알려진 CVE가 있는지 여부.
• HassecuritySupport : Bool- 감사 버전이 여전히 보안 업데이트를 받고있는 경우.
• hasactivesupport : bool -Auditversion이 여전히 활성 지원을 받고 있다면 (버그 업데이트).
• islatestpatchversion : bool -auditversion이 최신 패치 레벨 릴리스 (8.0.x)입니다.
• islatestminorversion : bool -auditversion이 최신 사소한 릴리스 (8.xx)입니다.
• islatestversion : bool -inuditversion이 최신 릴리스 (xxx)입니다.
• 최신 PatchVersion : String- 감사를위한 최신 패치 레벨 버전.
• 최신 MinorVersion : String- 감사를위한 최신 사소한 수준 버전.
• 최신 버전 : 문자열 - 최신 PHP 버전.
• ActiveSupportendDate : String | NULL -ISO8601 AUDITVERSION (버그 수정)에 대한 활성 지원 종료를위한 형식 날짜.
• SecuritySupportendDate : String -ISO8601 Auditversion에 대한 보안 지원 종료 날짜.
• 규칙이 마지막으로 규칙이 자동으로 업데이트 된 (하루에 두 번)에 대한 규칙을 rultastupdateddate : string -iso8601 형식 날짜 ..
• 취약성 : 객체 - CVE에 대한 세부 사항으로 감사 전환에 영향을 미치는 것으로 알려져 있습니다. 최근 발견 된 CVE에 대한 CVE 세부 사항은 Null 일 수 있습니다.

• 항상 업데이트 간 정보를 사용하고 너무 오래되면 실패하십시오. 이 도구는 사용자가 정보를 유지하도록 돕기 위해 설계되었으므로 구식이되면 실패해야합니다.
• 요청 된 정보를 사용할 수없는 경우 실패합니다. 전. PHP 버전 6.0 또는 5.7.0의 지원 종료 날짜 얻기. 다시 말하지만,이 도구는 사용자가 정보를 유지하도록 돕기 위해 설계되었으므로 요청 된 정보를 사용할 수 없으면 실패해야합니다.
• 공개 네트워크 및 폐쇄 된 네트워크에서 작업하십시오 (도구가 최신 상태 인 한).
• 최소 발자국 및 종속성.
• 가장 오래된 지원되는 PHP 버전에 대한 런타임 지원. 지원되지 않는 버전의 PHP와 함께이 도구를 사용하는 경우 이미이 도구가 제공 할 수있는 모든 답변이 있습니다. 예, 취약점이 있고 현재는 없습니다. 물론 그것은 단지 런타임을위한 것인데, 여전히 합리적인 PHP 버전에 대한 정보를 제공하는 것은이 프로젝트의 목표입니다.

• 이 프로젝트는 Apache License 2.0에 따라 릴리스됩니다.
• 이 프로젝트에서 제공 한 정보의 정확도는 확인되거나 보장 될 수 없습니다. 모든 기능은 편의성으로만 제공되며 신뢰성, 정확성 또는 시간 엄수에 사용해서는 안됩니다.
• 이 로고는 Colin Viebrock의 PHP 로고를 Creative Commons Attribution-Share 4.0 International에서 출시 한 기본 이미지로 사용하여 만들어졌습니다. 로고는 오버레이 그래픽을 포함하도록 원래 양식에서 수정되었습니다.
• 이 프로젝트와 수정 된 PHP 로고 사용은 Colin Viebrock이 승인하지 않습니다.
• 이 프로젝트와 PHP 이름의 사용은 PHP 그룹이 승인하지 않습니다.
• CVE 세부 사항 및 설명은 National Institute of Standard and Technology의 National Delnerability Database에서 다운로드됩니다. 이 프로젝트와 CVE 정보의 사용은 NIST 또는 NVD가 승인하지 않습니다. CVE 세부 사항은 편의성으로 만 제공됩니다. 정보의 정확도를 확인할 수 없습니다.
• PHP 릴리스 세부 사항 및 지원 날짜는 지원되는 버전 및 EOL 날짜뿐만 아니라 Changelogs (4, 5, 7, 8)에서 구문 분석됩니다. 정보의 정확도를 확인할 수 없습니다.