padraic/security-multitool

一个提供访问推荐的安全相关库、标准化的安全防御实现和常用任务的安全实现的工具库。

dev-master 2014-02-11 09:57 UTC

This package is not auto-updated.

Last update: 2024-09-14 13:30:24 UTC


README

一个提供访问推荐的安全相关库、标准化的安全防御实现和常用任务的安全实现的工具库。

库的目的是作为一个有用的工具集,同时作为一套可学习的参考实现。它可用于任何应用程序,无论是否基于Web应用程序框架。使用Web应用程序框架并不能保证您的安全。

另一个安全库?

实际上,PHP中可用的与安全相关的元包很少,其中许多已经过时且/或存在安全风险。导致这一问题的原因是缺乏关于PHP最佳实践的明确信息。SecurityMultiTool从各种来源提取源代码、模式和最佳实践,以提供单一参考点。源代码将具有观点。例如,SecurityMultiTool\Html\Sanitizer 使用 HTMLPurifier,并且不允许替换该依赖项(因为在PHP中没有任何其他安全的HTML清理器!)

您可以选择在项目中使用 SecurityMultiTool 作为依赖项。您可以用它作为你应该做的有用示例。您可以用它作为基准来检查您的代码及其依赖项是否偏离了推荐路径。您可以复制粘贴代码以适应您的需求(并且如果您不引用我,我也不会生气)。如果您觉得有用,可以传递代码的URL,向他人推荐改进的做法。

我非常乐意接受具有以下理解的新功能PR:它们应该经过严格的测试、可证明的安全,并符合安全实践。

当前功能

以下功能截至2013年3月18日可用并经过测试

  1. HTML输出转义(SecurityMultiTool\Html\Escaper)
  2. HTML清理(SecurityMultiTool\Html\Sanitizer)
  3. 随机数/字节生成器(SecurityMultiTool\Random\Generator)
  4. HTTP严格传输安全 & X-CSRFToken头(SecurityMultiTool\Http\Header)
  5. HTTPS检测器(SecurityMultiTool\Http\HttpsDetector)
  6. 清理后的Markdown和BBCode解析器(SecurityMultiTool\Markdown|BBcode\Parser)
  7. 防时间攻击字符串比较(SecurityMultiTool\String\FixedTimeComparison)

以下库是SecurityMultiTool安装的依赖项,您可以独立于SecurityMultiTool使用它们

还有更多内容即将到来!

报告安全漏洞

如果您在源代码中找到潜在漏洞,请直接向 padraic.brady@gmail.com 报告。我承诺在收到报告后的30天内解决任何此类报告,并在3天内确认收到任何报告。任何解决源代码将在提交到该存储库之前提供给报告者进行审查。一旦修复或发送报告后的任何时期,您都可以公开披露任何漏洞,正如您已经知道的。