php version audit

PHP версия Audit - это удобный инструмент для легкой проверки данной версии PHP на регулярно обновленном списке эксплойтов CVE, новых выпусков и дат окончания жизни.

Аудит PHP версии не является: обнаружение/смягчение эксплуатации, отслеживание версий, специфичное для поставщика, замена для соблюдения информированных в выпусках PHP и эксплойтах безопасности.

• Функции
• Пример
• Использование
  • Докер
  • Кли
  • Прямой вызов
  • JSON Правила
  • Параметры
• Выход
• Цели проекта
• Благодарности и лицензия

• Список известных CVE для данной версии PHP
• Проверьте либо версию времени выполнения PHP, либо поставленную версию
• Отображение дат в конце срока службы для данной версии PHP
• Отображать новые выпуски для данной версии PHP с настраиваемой специфичностью (последняя/минор/патч)
  • Патч: 7.3.0 -> 7.3.33
  • Несовершеннолетний: 7.3.0 -> 7.4.27
  • Последнее: 7.3.0 -> 8.1.1
• Правила автоматически обновляются два раза в день. Информация получена непосредственно от php.net - вы никогда не будете ждать того, что кто -то вроде меня, чтобы объединить запрос на вытягивание, прежде чем получить последнюю информацию о патче.
• Несколько интерфейсов: CLI (через PHP Composer), Docker, прямой импорт кода
• Легко сценарий для использования с рабочими процессами CI/CD. Все выходы Docker/CLI находятся в формате JSON для использования с вашими любимыми инструментами, такими как JQ.
• Настраиваемые условия выхода. Используйте флаги CLI, такие как --fail-security , чтобы установить код выхода сбоя, если данная версия PHP имеет известный CVE или больше не получает обновления безопасности.
• Нулевые зависимости

 docker run --rm -t lightswitch05/php-version-audit:latest --version=8.0.12
{
    "auditVersion": "8.0.12",
    "hasVulnerabilities": true,
    "hasSecuritySupport": true,
    "hasActiveSupport": true,
    "isLatestPatchVersion": false,
    "isLatestMinorVersion": false,
    "isLatestVersion": false,
    "latestPatchVersion": "8.0.14",
    "latestMinorVersion": "8.1.1",
    "latestVersion": "8.1.1",
    "activeSupportEndDate": "2022-11-26T00:00:00+0000",
    "securitySupportEndDate": "2023-11-26T00:00:00+0000",
    "rulesLastUpdatedDate": "2022-01-18T02:13:52+0000",
    "vulnerabilities": {
        "CVE-2021-21707": {
            "id": "CVE-2021-21707",
            "baseScore": 5.3,
            "publishedDate": "2021-11-29T07:15:00+0000",
            "lastModifiedDate": "2022-01-04T16:12:00+0000",
            "description": "In PHP versions 7.3.x below 7.3.33, 7.4.x below 7.4.26 and 8.0.x below 8.0.13, certain XML parsing functions, like simplexml_load_file(), URL-decode the filename passed to them. If that filename contains URL-encoded NUL character, this may cause the function to interpret this as the end of the filename, thus interpreting the filename differently from what the user intended, which may lead it to reading a different file than intended."
        }
    }
}

Работа с Docker - это предпочтительный и простой способ использовать Audit PHP версии.

Проверьте конкретную версию PHP с помощью Docker:

 docker run --rm -t lightswitch05/php-version-audit:latest --version=8.1.1

Проверьте PHP -версию хоста, используя Docker:

 docker run --rm -t lightswitch05/php-version-audit:latest --version=$(php -r 'echo phpversion();')

Запустите за прокси HTTPS (для использования в ограниченных сетях). Требуется монтирование объема каталога с вашим доверенным сертификатом (с расширением .crt)-см. Обновление Ca-Certificates для получения более подробной информации.

 docker run --rm -t -e https_proxy='https://your.proxy.server:port/' --volume /full/path/to/trusted/certs/directory:/usr/local/share/ca-certificates lightswitch05/php-version-audit:latest --version=8.1.1

Не используете Docker? Не проблема. Это еще пара шагов, но так же легко запустить напрямую.

Установите пакет через композитор:

 composer require lightswitch05/php-version-audit:~1.0

Выполните скрипт PHP, проверив версию PHP во время выполнения:

 ./vendor/bin/php-version-audit

Создайте код выхода, если найдено какие -либо CVE:

 ./vendor/bin/php-version-audit --fail-security

Хотите интегрировать с аудитом PHP версии? Это, безусловно, возможно. Слово осторожно, это очень ранний релиз. У меня нет никаких планов по преодолению изменений, но я также не стремлюсь сохранить интерфейс как есть, если есть новые функции для реализации. Docker/CLI, безусловно, является предпочтительным методом по сравнению с прямым вызовом.

 $phpVersionAudit = new lightswitch05PhpVersionAuditApplication(phpversion(), false);
$phpVersionAudit->hasVulnerabilities(); #=> true
$phpVersionAudit->getLatestPatchVersion(); #=> '8.1.1'

Данные, используемые для управления версией PHP, автоматически обновляются на регулярной основе и размещаются на страницах GitHub. Это настоящий мясной ипотат аудита версии PHP, и вы можете употреблять его напрямую для использования в других инструментах. Если вы решите сделать это, пожалуйста, уважайте лицензию проекта, предоставив надлежащие уведомления о атрибуции. Кроме того, я прошу любые реализации прочитать lastUpdatedDate и потерпеть неудачу, если он устарел (2+ недель). Этого не должно происходить, так как это автоматически обновляется ... но мы все знаем, насколько хрупкое программное обеспечение.

Получите последнюю версию выпуска PHP 8.1 непосредственно из правил, используя Curl и JQ:

 curl -s https://www.github.developerdan.com/php-version-audit/rules-v1.json | jq '.latestVersions["8.1"]'

 usage: php-version-audit        [--help] [--version=PHP_VERSION]
                                [--fail-security] [--fail-support]
                                [--fail-patch] [--fail-latest]
                                [--no-update] [--silent]
                                [--v]

optional arguments:
--help                          show this help message and exit.
--version                       set the PHP Version to run against. Defaults to the runtime version. This is required when running with docker.
--fail-security                 generate a 10 exit code if any CVEs are found, or security support has ended.
--fail-support                  generate a 20 exit code if the version of PHP no longer gets active (bug) support.
--fail-patch                    generate a 30 exit code if there is a newer patch-level release.
--fail-latest                   generate a 40 exit code if there is a newer release.
--no-update                     do not download the latest rules. NOT RECOMMENDED!
--silent                        do not write any error messages to STDERR.
--v                             Set verbosity. v=warnings, vv=info, vvv=debug. Default is error. All logging writes to STDERR.

• Аудитверсия: строка - версия PHP, которая проверяется.
• hasvulnerabilities: bool - Если у аудиторства есть какие -либо известные CVE или нет.
• HassecuritySupport: Bool - Если аудиторная ревизия все еще получает обновления безопасности.
• HASACTIVERSUPPORT: BOOL - Если аудиторная ревизия все еще получает активную поддержку (обновления ошибок).
• ISLateStPatchversion: Bool - если аудиторная ревизия является последним выпуском уровня патча (8.0.x).
• IslateStminorversion: Bool - если аудит является последним выпуском второго уровня (8.xx).
• ISLATESTVERSION: BOOL - если аудит является последним выпуском (xxx).
• Последняя PpatchVersion: String - последняя версия на уровне патча для аудита.
• Последняя передача Minorversion: String - Последняя версия для аудита.
• Последняя версия: String - последняя версия PHP.
• ActiveSupportEndDate: String | null - ISO8601 Форматированная дата для окончания активной поддержки для аудита (исправления ошибок).
• SecuritySupportEndDate: String - ISO8601 Форматированная дата для окончания поддержки безопасности для аудита.
• RulessLastupdatedDate: String - ISO8601 Образеленная дата в последний раз, когда правила были автоматическими (два раза в день) ..
• Уязвимости: объект - CVES, которые, как известно, влияют на аудит с подробностями о CVE. Детали CVE могут быть нулевыми для недавно обнаруженных CVE.

• Всегда используйте информацию об обновлении и сбой, если она станет слишком устаревшей. Поскольку этот инструмент предназначен для того, чтобы помочь его пользователям оставаться в курсе, он, в свою очередь, должен пройти неудачу, если он станет устаревшим.
• Сбой, если запрашиваемая информация недоступна. бывший. Получение даты окончания поддержки PHP версии 6.0, или 5,7.0. Опять же, поскольку этот инструмент предназначен для того, чтобы помочь его пользователям оставаться в курсе, он, в свою очередь, должен не удалиться, если запрашиваемая информация недоступна.
• Работайте как в открытых, так и в закрытых сетях (до тех пор, пока инструмент актуален).
• Минимальный след и зависимости.
• Поддержка времени выполнения самой старой поддерживаемой версии PHP. Если вы используете этот инструмент с неподдерживаемой версией PHP, то у вас уже есть все ответы, которые этот инструмент может дать вам: да, у вас есть уязвимости и устарели. Конечно, это только для времени выполнения, это все еще является целью этого проекта по предоставлению информации о любой разумной версии PHP.

• Этот проект выпущен в соответствии с лицензией Apache 2.0.
• Точность информации, предоставленной этим проектом, не может быть проверена или гарантирована. Все функции предоставляются только в качестве удобства и не должны использоваться для надежности, точности или пунктуальности.
• Логотип был создан с использованием логотипа PHP Колина Вьеброка в качестве базового изображения, выпущенного под Creative Commons Attribution-Share Alike 4.0 International. Логотип был изменен из его исходной формы, чтобы включить наложенную графику.
• Этот проект и использование модифицированного логотипа PHP не одобрены Колином Вьеброком.
• Этот проект и использование имени PHP не одобрены группой PHP.
• Детали и описания CVE загружаются из базы данных Национального института стандартного и технологий. Этот проект и использование информации CVE не одобрены NIST или NVD. Детали CVE предоставляются только как удобство. Точность информации не может быть проверена.
• Детали выпуска PHP и даты поддержки проанализированы от изменений (4, 5, 7, 8), а также поддерживаемых версий и дат EOL. Точность информации не может быть проверена.