Komuniti PHP Mengambil Langkah-langkah untuk Menghentikan Pemasangan Perpustakaan dengan Bugs Unpatched

Logo PHP

Beberapa suara yang paling berpengaruh dalam komuniti PHP telah bersatu dalam projek untuk meningkatkan keselamatan ekosistem PHP.

Di bawah nama FriendsOfPHP, kumpulan ini telah membuat pangkalan data yang merangkumi rujukan dan butiran untuk kelemahan keselamatan yang diketahui yang mempengaruhi pelbagai projek dan perpustakaan PHP.

Tujuan pangkalan data ini adalah untuk menyediakan panduan gergasi mengenai versi apa projek atau pustaka PHP yang selamat untuk digunakan atau selamat untuk dikemas kini.

Projek baru menangani nasihat keselamatan di dunia PHP

Projek ini, dikenali dengan nama mudah dari Pangkalan Data Penasihat Keselamatan PHP, perlahan-lahan mula menjadi lebih popular di GitHub.

Pangkalan Data Penasihat Keselamatan PHP juga berada di tengah-tengah Penasihat Keselamatan Roam, sebuah perpustakaan PHP yang siap dibentuk Komposer yang boleh disematkan dalam sebarang projek PHP.

"Roave / SecurityAdvisories menggunakan FriendsOfPHP sebagai sumber datanya untuk membina satu set konflik yang memerlukan kenyataan untuk mencegah kebergantungan yang tidak selamat daripada dipasang," Scott Arciszewski, Ketua Pegawai Pembangunan di Paragon Initiative Enterprise, memberitahu Bleeping Computer.

Ini bermakna mana-mana pemaju PHP boleh menanamkan pustaka ini dalam projek PHPnya dan menghalang penggunaan yang tidak disengajakan dari kod terdedah.

Perlindungan yang lebih baik terhadap kelemahan yang tidak ada, sifar hari

Tetapi baru-baru ini database FriendsOfPHP mendapat dorongan. Berikutan siri perbincangan dan pengubahsuaian kepada kod, pangkalan data kini boleh menanamkan maklumat mengenai projek-projek yang mengandungi kelemahan tanpa henti [1, 2, 3].

Kemas kini ini bermaksud lapisan perlindungan tambahan terhadap perpustakaan yang terbengkalai dan yang dipengaruhi oleh sifar hari.

Memandangkan kemas kini dibuat dalam pangkalan data FriendsOfPHP, mereka juga menetes ke perpustakaan Roave / SecurityAdvisories juga.

Ini bermakna pada masa akan datang, pemaju PHP akan cuba membina projek mereka, mereka akan mendapat kesilapan Komposer jika salah satu perpustakaan projek terdedah kepada kecacatan yang belum dapat ditandingi.

"Secara umumnya,bagaimana untuk mengendalikan nasihat untuk projek yang belum menetapkannya?'soalan telah dijawab, jadi ini harus menjadi cara yang dapat dipercaya untuk menghalang orang daripada menjalankan kod yang rentan, "kata Arciszewski.

PHP semakin selamat, satu langkah kecil pada satu masa

Walaupun PHP telah menjadi lelucon semua jenaka pengaturcaraan dalam dekad yang lalu untuk pelbagai sebab, terdapat usaha keras untuk meningkatkan prestasi bahasa [1, 2, 3, 4] dan keselamatan [1, 2].

Dengan kerja-kerja baru dalam pangkalan data FriendsOfPHP dan projek Roave / SecurityAdvisories, adalah menyenangkan untuk melihat bahawa pemaju PHP perlahan-lahan mula memahami bahawa aplikasi web juga harus selamat dari penggodam, dan bukan sekadar koleksi pengoptimuman kelajuan dan antara muka pengguna berkilat.

"Jika anda fikir ia berbahaya untuk memasang dependensi daripada projek yang bertindak balas kepada pendedahan kerentanan dengan 'Meh', tambah [Roave / SecurityAdvisories] kepada semua projek Komposer anda hari ini, "tambah Arciszewski.

Source

Tinggalkan Komen