PHP est désormais GA dans l’analyse Snyk Code
DeveloperSteve Coochin
26 janvier 2022
0 minutes de lectureNous avons récemment annoncé notre version bêta pour le support de PHP dans Snyk Code, qui a apporté avec elle la capacité d’identifier les vulnérabilités potentielles de sécurité PHP au niveau du code. Après un programme bêta public réussi, le support de la sécurité PHP dans Snyk Code est maintenant GA.
PHP est un langage de programmation populaire utilisé par les développeurs du monde entier. Dans cet article de blog, nous passerons en revue certaines des fonctionnalités de Snyk Code et la façon dont il peut être utilisé avec PHP. Nous fournirons également quelques exemples pour vous aider à démarrer, que vous soyez débutant ou développeur expérimenté.
Mises à jour avec GA
Le support de la sécurité du langage PHP dans Snyk Code s’ajoute à notre fonctionnalité existante d’analyse PHP qui analyse les manifestes Composer pour identifier les vulnérabilités des bibliothèques et des dépendances open source.
En outre, l’extension Snyk Visual Studio Code prend désormais aussi en charge l’analyse de code et de Composer pour PHP. Cette fonction est particulièrement utile, car elle met en évidence le code éventuellement non sécurisé pendant que vous l’écrivez et vous permet de savoir si une bibliothèque open source ou une dépendance contient des vulnérabilités cachées.
La version GA de PHP dans Snyk Code vous permet d’approfondir le problème et d’effectuer un traçage si nécessaire dans la base de code. C’est pratique lorsqu’il s’agit de fonctions traçables susceptibles de provenir d’autres points du code.
Testez l’analyse Snyk Code avec notre application de démonstration PHP
Chez Snyk, nous aimons développer des applications de démonstration intentionnellement vulnérables que nous appelons les « applications goof ». C’est un excellent moyen de mettre la main à la pâte et de détecter les vulnérabilités. Avec le lancement du support PHP dans Snyk Code, nous avons ajouté une appli goof PHP.
Nous allons passer en revue quelques exemples en utilisant l’appli goof PHP. Pour l’essayer, vous devez avoir un compte Snyk. Si vous n’en avez pas encore, vous pouvez en créer un en quelques secondes gratuitement.
Pour commencer, connectez-vous au tableau de bord Snyk, puis ajoutez un projet. Pour cette analyse, vous pouvez utiliser l’option de surveillance du référentiel public pour analyser le référentiel de l’appli goof PHP, ou vous pouvez « forker » le code et vous connecter au référentiel de votre choix.
Conseil : l’analyse des référentiels publics est également utile pour pouvoir analyser les projets open source que vous utilisez tous les jours.
L’analyse ne prend que quelques instants, et vous pouvez déjà voir que quelques problèmes ont été identifiés à la fois dans le code et dans les manifestes des paquets. Snyk Code identifie des dizaines de types de problèmes et littéralement des millions de combinaisons « source to sink » de dataflows. Examinons deux exemples très courants à l’aide de l’appli goof PHP.
Injection SQL
La première chose que vous remarquerez après avoir exécuté une analyse est la facilité avec laquelle Snyk Code examine votre code. Dans la capture d’écran ci-dessous, vous pouvez constater qu’il identifie une requête de base de données à laquelle est transmise une saisie non nettoyée.
En plus de faire apparaître les vulnérabilités de manière rapide et compréhensible, Snyk Code fournit également une analyse des correctifs et des conseils de remédiation. Si vous n’avez pas, en tant que développeur PHP, une connaissance approfondie de la sécurité, vous ignorez peut-être qu’il existe différentes façons de gérer en toute sécurité le nettoyage des saisies en PHP, via une bibliothèque ou avec la fonction filter_var
. Snyk fournit l’expertise de la sécurité en temps réel dont vous avez besoin pour garder votre code sécurisé, et constitue une source d’apprentissage.
Si vous souhaitez en savoir plus sur la sécurité PHP, consultez notre article 5 façons de prévenir l’injection de code PHP.
Utilisation d’identifiants codés en dur
Dans l’appli goof, nous avons intentionnellement utilisé des identifiants MySQL codés en dur afin qu’ils apparaissent dans le cadre de l’analyse de Snyk Code. Comme vous pouvez le voir dans la capture d’écran ci-dessous, Snyk Code les a détectés et les a signalés comme un problème. (Une manière plus sûre de gérer les identifiants de code pourrait être de les stocker en tant que variables d’environnement, soit sur la plateforme, soit dans un fichier d’environnement).
Vulnérabilités open source
En outre, l’analyse a également identifié un problème avec une version d’une bibliothèque open source du manifeste Composer. Celle-ci a été intentionnellement insérée dans l’appli afin de démontrer comment une vulnérabilité de type cross-site scripting peut être introduite.
Commencez à sécuriser vos projets PHP
Nous espérons que vous vous réjouissez comme nous de la prise en charge de PHP dans Snyk Code par GA. Essayez-le par vous-même avec un compte Snyk gratuit et envoyez-nous vos commentaires.
Cap sur la capture du drapeau
Découvrez comment résoudre les défis de capture du drapeau en regardant notre atelier virtuel à la demande.