Как обеспечить безопасность проекта при использовании пакетов из Composer?

Question

[Алексей Сумин]

Мы все уже привыкли использовать composer в php проектах, это очень удобно: нашел на гитхабе нужную библиотеку, добавил в проект и задача решена. Но как быть с безопасностью, если проект работает с биллингом или персональными данными, ведь подключаемая библиотека имеет полный доступ к проекту и может, например, сливать наружу любые внутренние данные?
Проверять вручную пакеты - это не реально, ведь каждый пакет ссылается на множество других, а те на третьи и т. д.
Совет "выбирать только проверенные и популярные" - тоже не работает, не всегда нужный пакет будет популярным.

Comments

[posters]

Моя позиция такова. Если вы, как разработчик, не достаточно компетентны, чтобы самостоятельно проверить библиотеку стороннего разработчика на соответствие требованиям безопасности, вы не имеете морального права работать с биллингом и критически важными персональными данными.
Другое дело, что обычно над крупными проектами работает команда разработчиков. В этом случае работает принцип делегирования ответственности.

[Алексей Сумин]

posters, ну а как конкретно вы проверяете? Каждый файл в папке vendor вручную, после каждого composer update? Или есть какие-то статические анализаторы? Или на уровне сервера решается через фаерволы?

[posters]

Алексей Сумин,

ну а как конкретно вы проверяете?

А никак. По обозначенным выше причинам. Глупо ждать соблюдения принципов от окружающих, если самому их не придерживаться.

[Дмитрий]

https://github.com/Roave/SecurityAdvisories

[Алексей Сумин]

posters,

Если вы, как разработчик, не достаточно компетентны, чтобы самостоятельно проверить библиотеку стороннего разработчика на соответствие требованиям безопасности, вы не имеете морального права работать с биллингом и критически важными персональными данными.

А никак.

Как-то противоречит тому, что вы сами же пишите в другом вопросе, а том зачем люди приходят на конкретно этот ресурс: Как регулируется правомерность вопросов, связанных с отладкой кода?

[posters]

Алексей Сумин, спасибо за проявленный интерес к моей натуре.
Нет, я не вижу противоречия. Не понимаю о чем вы.

Answer 1

[Андрей Гаврилов]

Вы сами себе и ответили на вопрос

Comments

[Алексей Сумин]

?

[Андрей Гаврилов]

Алексей Сумин, значит никак, надеяться на чудо , можно нормальных разработчиков нанять

[Алексей Сумин]

Наверное я сайт перепутал, написано "Q&A", а оказывается сервис загадок.

[Vitaly Karasik]

Или есть какие-то статические анализаторы? Или на уровне сервера решается через фаерволы?

Оба направления правильные.
Насчет сканеров - посмотрите OWASP, Snyk, и т.д.

Answer 2

[Daria Motorina]

1) Каждая версия php имеет свой набор уязвимостей, нужно держать у себя пакеты, которые работают с последними версиями php
2) Для проектов существуют платные сканеры безопасности (vulnerability или security scanner), они могут обнаружить уязвимости в том числе и в пакетах
3) если какая-то логика критически важна и нет доверия к готовым пакетам, то можно написать свой пакет с нуля и подключать его из закрытого корпоративного репозитория

Answer 3

[CityCat4]

При работе с ПДн я бы проверил вручную - эта тема такая, что можно очень залететь - не только на бабки, но и на присесть.

Answer 4

[Sanes]

В договоре указываете, что обязуетесь не оставлять дыры сознательно.
Больше никак.

Answer 5

[xmoonlight]

Изолируйте пакет в "sandbox".