Как обеспечить безопасность проекта при использовании пакетов из Composer?

Мы все уже привыкли использовать composer в php проектах, это очень удобно: нашел на гитхабе нужную библиотеку, добавил в проект и задача решена. Но как быть с безопасностью, если проект работает с биллингом или персональными данными, ведь подключаемая библиотека имеет полный доступ к проекту и может, например, сливать наружу любые внутренние данные?
Проверять вручную пакеты - это не реально, ведь каждый пакет ссылается на множество других, а те на третьи и т. д.
Совет "выбирать только проверенные и популярные" - тоже не работает, не всегда нужный пакет будет популярным.
  • Вопрос задан
  • 225 просмотров
Пригласить эксперта
Ответы на вопрос 5
Вы сами себе и ответили на вопрос
Ответ написан
glaphire
@glaphire Куратор тега PHP
PHP developer
1) Каждая версия php имеет свой набор уязвимостей, нужно держать у себя пакеты, которые работают с последними версиями php
2) Для проектов существуют платные сканеры безопасности (vulnerability или security scanner), они могут обнаружить уязвимости в том числе и в пакетах
3) если какая-то логика критически важна и нет доверия к готовым пакетам, то можно написать свой пакет с нуля и подключать его из закрытого корпоративного репозитория
Ответ написан
Комментировать
CityCat4
@CityCat4 Куратор тега Информационная безопасность
//COPY01 EXEC PGM=IEBGENER
При работе с ПДн я бы проверил вручную - эта тема такая, что можно очень залететь - не только на бабки, но и на присесть.
Ответ написан
Комментировать
Sanes
@Sanes
В договоре указываете, что обязуетесь не оставлять дыры сознательно.
Больше никак.
Ответ написан
Комментировать
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
Изолируйте пакет в "sandbox".
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы