PHP-fællesskabet tager skridt til at stoppe installationen af ​​biblioteker med uploade bugs

PHP logo

Nogle af de mest indflydelsesrige stemmer i PHP-samfundet har forenet et projekt for at forbedre sikkerheden for PHP-økosystemet.

Under navnet FriendsOfPHP har denne gruppe oprettet en database, der indeholder referencer og detaljer for kendte sikkerhedsproblemer, der påvirker forskellige PHP-projekter og biblioteker.

Formålet med denne database er at give en kæmpe vejledning til, hvilke versioner af hvilket PHP-projekt eller bibliotek der er sikkert at bruge eller sikkert at opdatere til.

Nyt projekt tackler sikkerhedsrådgivning i PHP-verdenen

Dette projekt, kendt under det enkle navn på PHP Security Advisories Database, begynder langsomt at blive mere populær på GitHub.

PHP Security Advisories Database er også i hjertet af Roave Security Advisories, et Composer-klar PHP-bibliotek, der kan indlejres i ethvert PHP-projekt.

"Roave / SecurityAdvisories bruger FriendsOfPHP som dens datakilde til at opbygge et modstridende sæt kravkrav for at forhindre usikre afhængigheder i at blive installeret," sagde Scott Arciszewski, Chief Development Officer hos Paragon Initiative Enterprise, Bleeping Computer.

Det betyder, at enhver PHP-udvikler kan integrere dette bibliotek i sit PHP-projekt og forhindre utilsigtet implementering af sårbar kode.

Bedre beskyttelse mod upatchede fejl, nul-dage

Men for nylig fik FriendsOfPHP-databasen et boost. Efter en række diskussioner og ændringer af koden kan databasen nu pålideligt integrere oplysninger om projekter, der indeholder ufiksede sårbarheder [1, 2, 3].

Denne opdatering betyder et ekstra beskyttelseslag mod overladte biblioteker og dem, der berøres af nul-dage.

Siden opdateringerne blev foretaget i FriendsOfPHP-databasen, gik de også ned til biblioteket Roave / SecurityAdvisories.

Det betyder, at PHP-udviklere næste gang vil forsøge at bygge deres projekt, de får en Composer-fejl, hvis et af projektets biblioteker er sårbart over for en endnu ikke-patched fejl.

"Mere generelt er"hvordan man håndterer rådgivning til projekter, der ikke har rettet dem endnu?spørgsmålet er blevet besvaret, så det skal være en pålidelig måde at forhindre folk i at køre sårbar kode på, "siger Arciszewski.

PHP bliver sikrere, et lille skridt ad gangen

Mens PHP har været skubbet af alle programmeringsgrader i det sidste årti af forskellige grunde, har der været en stor indsats for at forbedre sprogets præstationer [1, 2, 3, 4] og sikkerhed [1, 2].

Med den nylige arbejde med FriendsOfPHP databasen og Roave / SecurityAdvisories projekter, det er behageligt at se, at PHP udviklere langsomt er begyndt at forstå, at web-applikationer bør også være sikret mod hackere, og ikke bare en samling af hastighed optimeringer og skinnende brugergrænseflader.

"Hvis du mener, at det er farligt at installere afhængigheder fra projekter, der reagerede på udsendelser med sårbarhed med"meh', tilføj [Roave / SecurityAdvisories] til alle dine Composer-projekter i dag, "tilføjer Arciszewski.

Kilde

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.