PHP アプリケーションのセキュリティ リスクとコード品質を見つけます。
PHP は Web を支配しており、 市場シェアの約 80% を 占めています。 WordPress、Joomla、Lavarel、Drupal など、どこにでもあります。
PHP コアは安全ですが、これ以外にも多くのコアが使用されており、脆弱性がある可能性があります。サイトや複雑な Web アプリケーションの開発後、ほとんどの開発者やサイト所有者は機能、デザイン、SEO に重点を置き、重要なコンポーネントである セキュリティ を忘れてしまいます。
ベスト プラクティスとして、アプリケーションを稼働させる前にセキュリティ スキャンを実行することを検討する必要があります。これは、規模の大小を問わず、あらゆるサイトに当てはまります。それに役立つツールがいくつかあります。
PMF
PHP Malware Finder (PMF) は、ファイル内の潜在的な悪意のあるコードを見つけるのに役立つ自己ホスト型ソリューションです。危険なエンコーダ、難読化ツール、Web シェルコードを検出することが知られています。
PMF は YARA を利用するため、テストを実行するための前提条件として YARA が必要です。
リプス
RIPS は 、開発ライフサイクルを通じて統合され、リアルタイムでセキュリティ問題を発見する一般的な PHP 静的コード分析ツールの 1 つです。検出結果を業界のコンプライアンスおよび標準ごとに分類して、修正に優先順位を付けることができます。
- OWASP トップ 10
- サンズトップ25
- PCI-DSS
- ヒッパ
次の機能のいくつかを見てみましょう。
- 重大度およびオプションに基づいてリスクを特定し、重大、高、中、低の重みを定義します。
- 調査に協力し、問題に優先順位を付ける
- 脆弱性の影響を理解する
- 古いコードと新しいコード間のセキュリティ リスクを評価する
- To Do リストを作成し、チケット発行システムを使用してタスクを割り当てる
RIPS では、RESTful API を使用して、スキャン結果レポートを PDF、CSV などの複数の形式にエクスポートできます。
セルフホスト型および SaaS モデルとして利用できます。したがって、自分に合ったものを選択してください。
ソナーPHP
SonarSource の SonarPHP は、パターン マッチング、データ フロー技術を使用して、PHP コードの脆弱性を検出します。これは静的コード アナライザーであり、Eclipse、IntelliJ と統合されています。
SonarSource は 140 以上のルールに対してコードをチェックし、Java で書かれたカスタム ルールもサポートします。
エグサカット
コンプライアンス、リスクをチェックし、ベスト プラクティスを強化するためのリアルタイム静的コード アナライザー エンジン。 Exakat は、 PHP 専用の アナライザーを 450 以上入手しました。 WordPress、CakePHP、Zend などのフレームワーク固有のアナライザーがあります。
GitHub に PHP アプリケーション コードがある場合は、そのパブリック アナライザーを使用できます。それ以外の場合は、クラウド ベースのオンライン アナライザーをダウンロードまたは使用することもできます。
Exakat の助けを借りて、永続的なセキュリティをアプリケーションとそれに続くものに統合できます。
- 100を超えるルールでコードレビューを自動化
- コンプライアンス対応
- コードのドキュメントを自動化する
- PHP 7 への移行が簡単に
堅牢なレポートにより、修復に優先順位を付けることができます。
PHPStan
PHPStan は、 コードを作成するときにバグを見つけるための素晴らしいツールです。何も実行する必要はありません。
ここで オンライン版を試すことができます。
PHPStan を使用するには、7.1 以降のバージョンと Composer が必要です。ただし、古いバージョンのバグを発見することはできます。
詩篇
PHP パーサー上に構築された Psalm は 、エラーを検出し、より優れた安全なアプリケーションの一貫性を維持するのに役立ちます。
プログパイロット
Progpilot 静的アナライザーを使用すると、GET、POST、COOKIE、SHELL_EXEC などの分析タイプを指定できます。現時点では、suiteCRM と CodeIgniter フレームワークをサポートしています。
グラバー
Grabber は、PHP-SAT を使用して PHP ベースのアプリケーションでハイブリッド分析を実行するための Python ベースのツールです。
シンフォニー
Symfony によるセキュリティ監視は、コンポーザーを使用するあらゆる PHP プロジェクトで動作します。これは、既知の脆弱性に関する PHP セキュリティ アドバイザリ データベースです。 PHP-CLI、Symfony-CLI、または Web ベースのいずれかを使用して、プロジェクトで使用しているライブラリの既知の問題について、composer.lock をチェックできます。
Symfony はセキュリティ通知サービスも提供しています。つまり、composer.lock ファイルをアップロードすると、今後、使用されているライブラリに脆弱性が見つかった場合には、通知が届きます。
結論
上記のツールを使用することで、PHP アプリケーションの安全性がさらに高まることを願っています。リストされているツールはすべてソース コードの分析に重点を置いており、さらに必要な場合は、オープンソースのセキュリティ スキャナーをチェックしてください。
アプリケーションの準備ができたら、エッジ ネットワークからの継続的なセキュリティのためにクラウドベースの WAF を追加することを忘れないでください。
![2021 年に Raspberry Pi Web サーバーをセットアップする方法 [ガイド]](https://i0.wp.com/pcmanabu.com/wp-content/uploads/2019/10/web-server-02-309x198.png?w=1200&resize=1200,0&ssl=1)
