Какие есть бесплатные сканеры уязвимостей PHP-приложения, собранного вручную?

Question

[Вадим]

Есть php приложение, которое собрано вручную, без использования менеджера пакетов... не работал раньше с php бекендом и в связи с этим 2 вопроса:

1) Наверное даже если собрано вручную, все равно эти пакеты будут прописаны в отдельном файле и в каком?
2) Какое-то есть бесплатное приложение - сканер уязвимостей пакетов php, которое будет работать без использования composer и его друзей?

Answer 1

[Stalker_RED]

Эти вот "пакеты" из композера - это просто папки с файлами, в которые добавлены файлы conposer.json с метаинформацией, типа перечисления зависимостей.
При сборке вручную никто не мешает просто скачать зип-архивы с этим всем с гитхаба (или любых других источников) и добавить свой автолоадер.
Или вообще без автолоадера, понапихать require_once в нужных местах, как во времена php4.

И тогда никакого отдельного файла с зависимостями не будет.

Поэтому и сложно представить как сканер безопасности будет сканировать пакеты без композера, при том что сами пакеты - это виртуальная сущность собственно композером и создающаяся.

Comments

[Вадим]

посмотрел еще раз - все пакеты просто подтянуты в подпапки проекта и вызываются с помощью require_once

тупой вопрос, а можно эти пакеты как-то прописать через composer? Наверное только скриптом...

[Stalker_RED]

В теории можно: посмотреть имена пакетов, установить их через композер, а эти require - удалить.
Когда пакетов пара штук - это не сложно, но когда их много - это куча возни. Еще и вполне вероятно какие-нибудь косяки из-за разных версий вылезут, и придется это как-то разруливать.

И я не знаю такого скрипта, который это автоматизировал бы.