首頁>PHP源碼>其他類別
下載

PHP版本審核

PHP版本審核是一種便利工具,可輕鬆檢查給定的PHP版本,以定期更新的CVE漏洞,新版本和壽命日期的列表。

PHP版本審核不是:利用檢測/緩解措施,特定於供應商的版本跟踪,替代了通知PHP版本和安全性利用的替代品。

  • 特徵
  • 例子
  • 用法
    • Docker
    • CLI
    • 直接調用
    • JSON規則
    • 選項
  • 輸出
  • 項目目標
  • 致謝和許可證

特徵:

  • 列表給定版本的PHP已知CVE
  • 檢查PHP的運行時版本或提供版本
  • 顯示給定版本的PHP的壽命日期
  • 顯示具有可配置特異性的給定版本的PHP的新版本(最新/次要/補丁)
    • 補丁:7.3.0-> 7.3.33
    • 次要:7.3.0-> 7.4.27
    • 最新:7.3.0-> 8.1.1
  • 規則每天自動更新兩次。信息直接來自php.net-您永遠不會等待像我這樣的人在獲取最新補丁信息之前合併拉動請求。
  • 多個接口:CLI(通過PHP作曲家),Docker,直接代碼導入
  • 易於與CI/CD工作流一起使用。所有Docker/CLI輸出均以JSON格式使用您喜歡的工具(例如JQ)消費。
  • 可配置的出口條件。如果給定版本的PHP具有已知的CVE或不再接收安全更新,則使用CLI標誌(例如--fail-security設置故障退出代碼。
  • 零依賴性

例子: 

 docker run --rm -t lightswitch05/php-version-audit:latest --version=8.0.12
{
    "auditVersion": "8.0.12",
    "hasVulnerabilities": true,
    "hasSecuritySupport": true,
    "hasActiveSupport": true,
    "isLatestPatchVersion": false,
    "isLatestMinorVersion": false,
    "isLatestVersion": false,
    "latestPatchVersion": "8.0.14",
    "latestMinorVersion": "8.1.1",
    "latestVersion": "8.1.1",
    "activeSupportEndDate": "2022-11-26T00:00:00+0000",
    "securitySupportEndDate": "2023-11-26T00:00:00+0000",
    "rulesLastUpdatedDate": "2022-01-18T02:13:52+0000",
    "vulnerabilities": {
        "CVE-2021-21707": {
            "id": "CVE-2021-21707",
            "baseScore": 5.3,
            "publishedDate": "2021-11-29T07:15:00+0000",
            "lastModifiedDate": "2022-01-04T16:12:00+0000",
            "description": "In PHP versions 7.3.x below 7.3.33, 7.4.x below 7.4.26 and 8.0.x below 8.0.13, certain XML parsing functions, like simplexml_load_file(), URL-decode the filename passed to them. If that filename contains URL-encoded NUL character, this may cause the function to interpret this as the end of the filename, thus interpreting the filename differently from what the user intended, which may lead it to reading a different file than intended."
        }
    }
}

用法

Docker

使用Docker運行是使用PHP版本審核的首选和最簡單的方法。

使用Docker檢查PHP的特定版本: 

 docker run --rm -t lightswitch05/php-version-audit:latest --version=8.1.1

使用Docker檢查主機的PHP版本: 

 docker run --rm -t lightswitch05/php-version-audit:latest --version=$(php -r 'echo phpversion();')

在HTTPS代理(用於限製網絡)後面運行。需要帶有您值得信賴的證書(帶有.crt擴展名)的目錄的音量安裝 - 有關更多詳細信息,請參見Update-Ca認證。 

 docker run --rm -t -e https_proxy='https://your.proxy.server:port/' --volume /full/path/to/trusted/certs/directory:/usr/local/share/ca-certificates lightswitch05/php-version-audit:latest --version=8.1.1

CLI

不使用Docker?沒問題。這是另外幾個步驟,但直接運行也很容易。

通過作曲家安裝軟件包: 

 composer require lightswitch05/php-version-audit:~1.0

執行PHP腳本,檢查PHP的運行時版: 

 ./vendor/bin/php-version-audit

如果發現任何CVE,則產生出口代碼: 

 ./vendor/bin/php-version-audit --fail-security

直接調用

是否要與PHP版本審核集成?這當然是可能的。一個單詞謹慎,這是一個很早的版本。我沒有任何破壞更改的計劃,但是如果有新功能可以實現,我也不承諾將接口保持原樣。 Docker/CLI當然是直接調用的首選方法。 

 $phpVersionAudit = new lightswitch05PhpVersionAuditApplication(phpversion(), false);
$phpVersionAudit->hasVulnerabilities(); #=> true
$phpVersionAudit->getLatestPatchVersion(); #=> '8.1.1'

JSON規則

用於驅動PHP版本審核的數據會自動定期更新,並在GitHub頁面上託管。這是PHP版本審核的真正肉類和番茄,您可以將其直接消耗供其他工具中使用。如果您選擇執行此操作,請通過提供適當的歸因通知來尊重項目許可。另外,我要求任何實施方式閱讀lastUpdatedDate ,如果它已經過時(2週以上),則失敗了。由於它會自動更新,因此不應該發生這種情況...但是我們都知道軟件有多脆弱。

使用Curl和JQ直接從規則中獲取最新的PHP 8.1發行版: 

 curl -s https://www.github.developerdan.com/php-version-audit/rules-v1.json | jq '.latestVersions["8.1"]'

選項

 usage: php-version-audit        [--help] [--version=PHP_VERSION]
                                [--fail-security] [--fail-support]
                                [--fail-patch] [--fail-latest]
                                [--no-update] [--silent]
                                [--v]

optional arguments:
--help                          show this help message and exit.
--version                       set the PHP Version to run against. Defaults to the runtime version. This is required when running with docker.
--fail-security                 generate a 10 exit code if any CVEs are found, or security support has ended.
--fail-support                  generate a 20 exit code if the version of PHP no longer gets active (bug) support.
--fail-patch                    generate a 30 exit code if there is a newer patch-level release.
--fail-latest                   generate a 40 exit code if there is a newer release.
--no-update                     do not download the latest rules. NOT RECOMMENDED!
--silent                        do not write any error messages to STDERR.
--v                             Set verbosity. v=warnings, vv=info, vvv=debug. Default is error. All logging writes to STDERR.

輸出

  • 審核:字符串 - 正在審核的PHP版本。
  • HASVULNEBINAL:BOOL-如果審計是否有任何已知的CVE。
  • hassecuritysupport:bool-如果審計仍在收到安全更新。
  • HASACTIVESUPPORT:BOOL-如果審計仍在接收主動支持(錯誤更新)。
  • IslatestPatchVersion:bool-如果審核是最新的補丁級版本(8.0.x)。
  • Islatestminorversion:bool-如果審計是最新的次要版本(8.xx)。
  • Islatestversion:bool-如果審核是最新版本(xxx)。
  • 最新數據:字符串 - 用於審核的最新補丁級版本。
  • 最新消息:字符串 - 最新的審計次要版本。
  • 最新文章:字符串 - 最新的PHP版本。
  • ActiveSupportendDate:字符串| null -ISO8601格式的日期,用於審核的主動支持(錯誤修復)。
  • SecuritySupporTendDate:String -ISO8601格式的日期,用於審核的安全支持結束。
  • RulesLastupDatedDate:String -ISO8601格式的日期,該日期是自動更新的最後一次(每天兩次)。
  • 漏洞:對象 - 已知會影響CVE的詳細信息的CVE。最近發現的CVE的CVE細節可能無效。

項目目標:

  • 始終使用更新到日期的信息,如果它變得過於陳舊,則會失敗。由於該工具旨在幫助其用戶保持知識,因此如果它過時,則必須失敗。
  • 如果請求的信息不可用,則會失敗。前任。獲取PHP 6.0版的支持結束日期或5.7.0。同樣,由於該工具旨在幫助其用戶保持知識,因此如果請求的信息不可用,則必須失敗。
  • 在開放和封閉的網絡中工作(只要該工具是最新的)。
  • 最小的足跡和依賴性。
  • 最古老的支持版本的PHP的運行時支持。如果您使用此工具具有不支持版本的PHP,那麼您已經有了該工具可以給您的所有答案:是的,您有漏洞並且已經過時了。當然,這僅是為了運行時,該項目仍然是提供有關任何合理版本的PHP的信息的目標。

致謝和許可證

  • 該項目以Apache許可證2.0發布。
  • 無法驗證或保證該項目提供的信息的準確性。所有功能僅作為方便提供,不應用於可靠性,準確性或守時性。
  • 該徽標是使用Colin Viebrock的PHP徽標作為基本圖像創建的,它在Creative Commons Attribution-Share-Share Share 4.0 International下發布。徽標已從其原始形式進行了修改,以包括覆蓋圖形。
  • Colin Viebrock不認可該項目和修改後的PHP徽標的使用。
  • PHP組不認可此項目和PHP名稱的使用。
  • CVE的詳細信息和描述將從國家標準和技術研究所的國家脆弱性數據庫中下載。該項目和CVE信息的使用不受NIST或NVD的認可。 CVE詳細信息僅是方便的。信息的準確性無法驗證。
  • PHP發布的詳細信息和支持日期來自Changelogs(4、5、7、8),以及支持的版本和EOL日期。信息的準確性無法驗證。
展開
附加信息
相關應用
爲您推薦
相關資訊 全部