sensiolabs/security-advisories

各种PHP项目和库中已知安全漏洞的数据库

维护者

详细信息

github.com/FriendsOfPHP/security-advisories

来源

问题

安装次数: 80,804

依赖项: 0

建议者: 0

安全: 0

星标: 2,036

关注者: 142

分支: 304

开放问题: 2

dev-master 2024-09-09 09:01 UTC

Requires (Dev)

Unlicense e1e19e19d2d888dc9bbd8bd38cd793dc16577448

  • Fabien Potencier <fabien.potencier.woop@gmail.com>

This package is auto-updated.

Last update: 2024-09-09 09:01:45 UTC

README

PHP安全告警数据库引用了各种PHP项目和库中的已知安全漏洞。此数据库**不得**作为安全问题的主要信息来源,它不是任何引用软件的权威信息,但它允许集中信息以便于查阅和使用。

许可证

PHP安全告警数据库是免费的、无版权负担的软件,已释放到公有领域。

检查漏洞

除了手动检查之外,您还应该使用本地CLI工具来检查您的应用程序中的漏洞。

    local-php-security-checker --path=/path/to/composer.lock

提示:如果您使用GitHub,您可以使用PHP安全检查器GitHub操作在推送代码时自动检查漏洞。

贡献

贡献安全告警就像这样简单

  • 您可以通过发送pull request或直接通过GitHub界面创建文件来贡献一个新条目;

  • 根据存在安全问题的软件的Composer名称创建一个目录(例如,对于Symfony HttpFoundation组件中的问题,请使用symfony/http-foundation);

  • 每个安全漏洞都必须保存在一个文件中,其中文件名是CVE标识符(首选)或安全漏洞宣布的日期,后跟一个增量(例如,2012-12-12-1);

  • 文件是YAML格式,**必须**包含以下条目(请参阅现有条目以获取示例)

    • title:用几个词描述安全漏洞的文本;

    • link:指向官方安全漏洞公告的链接(HTTPS链接比HTTP链接更受青睐);

    • reference:一个唯一标识软件的引用(唯一支持的方案是composer://后跟Composer标识符);

    • branches:受影响的分支的哈希值,其中名称是分支名称(如2.0.x),值是一个包含以下条目的哈希值

      • time:UTC时间日期和时间,当安全漏洞被修复或未修复时为null(通常,修复问题的后续提交日期,格式为2012-08-27 19:17:44)--此信息必须尽可能准确,因为它用于确定项目是否受影响;

      • versions:描述此分支受影响的版本的约束数组(此格式与Composer中使用的格式相同--['>=2.0.0', '<2.0.17'])。

  • 如果您有CVE标识符,请在cve键下添加它。

  • 确保您的文件通过从项目的根目录运行php -d memory_limit=-1 validator.php进行验证。此脚本需要通过composer安装一些依赖项,因此您需要先运行composer install

如果受影响的代码可以通过不同的Composer条目获取(例如,当你有一个主存储库的只读子树拆分时),请在几个文件中重复信息。