Какие есть бесплатные сканеры уязвимостей PHP-приложения, собранного вручную?
Есть php приложение, которое собрано вручную, без использования менеджера пакетов... не работал раньше с php бекендом и в связи с этим 2 вопроса:
1) Наверное даже если собрано вручную, все равно эти пакеты будут прописаны в отдельном файле и в каком?
2) Какое-то есть бесплатное приложение - сканер уязвимостей пакетов php, которое будет работать без использования composer и его друзей?
Эти вот "пакеты" из композера - это просто папки с файлами, в которые добавлены файлы conposer.json с метаинформацией, типа перечисления зависимостей.
При сборке вручную никто не мешает просто скачать зип-архивы с этим всем с гитхаба (или любых других источников) и добавить свой автолоадер.
Или вообще без автолоадера, понапихать require_once в нужных местах, как во времена php4.
И тогда никакого отдельного файла с зависимостями не будет.
Поэтому и сложно представить как сканер безопасности будет сканировать пакеты без композера, при том что сами пакеты - это виртуальная сущность собственно композером и создающаяся.
В теории можно: посмотреть имена пакетов, установить их через композер, а эти require - удалить.
Когда пакетов пара штук - это не сложно, но когда их много - это куча возни. Еще и вполне вероятно какие-нибудь косяки из-за разных версий вылезут, и придется это как-то разруливать.
И я не знаю такого скрипта, который это автоматизировал бы.
