通过
搜索
搜索sansec / composer-integrity-plugin
0.2.1
2023-05-01 09:22 UTC
Requires
- php: >=8.1
- composer-plugin-api: ^2.0
- guzzlehttp/guzzle: >=6.0
- php-di/php-di: ^7.0
Requires (Dev)
- composer/composer: ^2.0
README
检查您安装的composer包与Sansec提供的已知正确校验和列表进行对比。
此插件计算
- composer.json和composer.lock的
- 包名和版本
- 已安装包的文件内容(校验和)
然后,将这些哈希与Sansec托管的大型数据库进行对比。使用单向哈希提供了一种安全的方式来测试您的设置,而不需要与第三方共享文件内容。Sansec API不会存储您的哈希。
安装与使用
Composer插件
composer require sansec/composer-integrity-plugin
然后您可以运行它
composer integrity
PHAR
访问发布页面并下载最新的PHAR。
然后您可以运行它
php composer-integrity.phar
配置
插件和PHAR都接受以下可选选项
--skip-match: 仅显示不匹配的校验和--json: 输出为json格式,而不是表格
我们为什么这样做?
Sansec专注于对受破坏的Magento商店的取证调查。我们发现,恶意软件隐藏在vendor下的合法库中的案例有所增加。大多数包管理器都为安装的软件提供某种完整性检查,但composer没有。因此,我们制作了这个插件,以便快速验证安装的完整性。
或者,您也可以克隆composer文件,重新创建vendor,然后与您的安装运行diff。但这需要更多时间,并且原始依赖项并不总是在生产服务器上可用。
注意事项
插件不考虑补丁,例如通过post-install-cmd composer脚本或直接编辑vendor应用的那些补丁。
在这种情况下,用户有责任评估情况并采取适当的行动。
许可证
MIT许可证 - 版权所有 © 2023 Sansec