もがき系プログラマの日常

もがき系エンジニアの勉強したこと、日常のこと、気になっている技術、備忘録などを紹介するブログです。

local-php-security-checkerで使用しているライブラリの脆弱性チェック

はじめに

こんばんは。

今回もちょっと試してみたブログです。

Qiitaで脆弱性チェックのブログを見つけました。

これはいいなと思い、早速使ってみました。

実際先程のブログで紹介されているツールは archive になっていました。

代替ツールはないのかな?と探した所ありました。

github.com

本題

早速インストールして使ってみます。

僕は cloneして buildしました。

そして、試しのプロジェクトとして、cakephpの古めのバージョンを落としてみます。

$ composer create-project --prefer-dist cakephp/app:3.4.1 example341

早速実行してみます。

$ local-php-security-checker
Symfony Security Check Report
=============================

1 package has known vulnerabilities.

cakephp/cakephp (3.4.14)
------------------------

 * [CVE-2019-11458][]: Unsafe deserialization in SmtpTransport

[CVE-2019-11458]: https://bakery.cakephp.org/2019/04/23/cakephp_377_3615_3518_released.html

Note that this checker can only detect vulnerabilities that are referenced in the security advisories database.
Execute this command regularly to check the newly discovered vulnerabilities.

なんかでました!!

vrda.jpcert.or.jp

jvndb.jvn.jp

脆弱性として報告されているものでした。

ツールで表示されているURLを開くと、以下のサイトでした。

このリリースで治ったという感じですね。早速治ったバージョンをインストールしてみます。

bakery.cakephp.org

3.5.18にupdateして 再度チェックしてみます。

$ local-php-security-checker
Symfony Security Check Report
=============================

No packages have known vulnerabilities.

Note that this checker can only detect vulnerabilities that are referenced in the security advisories database.
Execute this command regularly to check the newly discovered vulnerabilities.

検知される脆弱性がなくなりました!

終わりに

かんたんなチェックですが、有名なツールに関してこれでチェックするのはいいかもと思いました。

現場からは以上です。