Hoy Fabien Potencier, creador de Symfony, ha anunciado en su blog que Sensio Labs pone a nuestro alcance una herramienta para comprobar las vulnerabilidades existentes en las dependencias de nuestros proyectos Symfony o Zend framework siempre que usemos Composer como gestor de dependencias. La iniciativa es realmente buena porque a estas alturas de partido, Symfony se ha masificado y existen grandes proyectos cuyo funcionamiento depende de que el framework y sus bundles trabajen de forma correcta y segura. Además Fabien asegura que se están mejorando la identificación de los bug para cumplir con el Common Vulnerabilities and exposures o CVE. Todo esto es otro incentivo más para usar Symfony y Composer, una estupenda aplicación que se encarga de obtener las dependencias que necesitemos en nuestro proyecto de forma transparente, con solo lanzar un comando. No estaría nada mal que PHP tuviese algún sistema estándar de este tipo para comprobar si las librerías/frameworks/aplicaciónes son seguras y están a la última.
¿Cómo funciona el Security Advisories Checker?
Tienes tres formas de usarlo, una de ellas es mediante una API que te permitirá usarla en sistemas de Integración Contínua:
- Web de security.sensiolabs.org: Accedes a la web y subes tu fichero
composer.lock
. - Usar la aplicación de consola Security Checker:
$ php security-checker security:check /tu-directorio/composer.lock
- API del servicio.
Eco de la noticia: Fabien Potencier | Symfony.es