Створено базу даних, яка запобігає установці вразливих PHP-бібліотек

Впливові учасники спільноти PHP об'єдналися для покращення безпеки PHP-екосистеми. Створена ними група FriendsOfPHP створила базу даних, що містить посилання та подробиці про відомі вразливості у різних PHP-бібліотеках та проектах. База даних повинна допомогти розробникам у виборі безпечних версій PHP-бібліотек та проектів для встановлення чи оновлень.

Запущений групою проект під назвою PHP Security Advisories Database поступово набуває все більшої популярності на GitHub. Проект також ліг в основу вже готової PHP-бібліотеки Roave/Security Advisories, яку можна використовувати у будь-якому PHP-проекті.

«Roave / SecurityAdvisories використовує FriendsOfPHP як джерело даних для створення суперечливого набору необхідних інструкцій для запобігання встановлення небезпечних залежностей», - пояснив порталу Bleeping Computer старший розробник Paragon Initiative Enterprise Скотт Арцишевскі (Scott Arciszewski). Іншими словами, будь-який розробник може вбудувати бібліотеку у свій PHP-проект і тим самим убезпечити себе від створення вразливого коду.

Нещодавно база даних отримала оновлення і тепер може вбудовувати інформацію про проекти, що містять невиправлені вразливості. Оновлення додає додатковий рівень захисту від невикористаних, покинутих бібліотек.

Апдейт FriendsOfPHP, відповідно, стосується і Roave/Security Advisories. Тобто, якщо одна з PHP-бібліотек, що використовується розробником, буде містити невиправлену вразливість, з'явиться помилка Composer.