Snyk Blog

PHP est désormais GA dans l’analyse Snyk Code

Écrit par:
DeveloperSteve Coochin
DeveloperSteve Coochin
wordpress-sync/blog-social-php-composer

January 26, 2022

0 minutes de lecture

Nous avons récemment annoncé notre version bêta pour le support de PHP dans Snyk Code, qui a apporté avec elle la capacité d’identifier les vulnérabilités potentielles de sécurité PHP au niveau du code. Après un programme bêta public réussi, le support de la sécurité PHP dans Snyk Code est maintenant GA.

PHP est un langage de programmation populaire utilisé par les développeurs du monde entier. Dans cet article de blog, nous passerons en revue certaines des fonctionnalités de Snyk Code et la façon dont il peut être utilisé avec PHP. Nous fournirons également quelques exemples pour vous aider à démarrer, que vous soyez débutant ou développeur expérimenté.

Mises à jour avec GA

Le support de la sécurité du langage PHP dans Snyk Code s’ajoute à notre fonctionnalité existante d’analyse PHP qui analyse les manifestes Composer pour identifier les vulnérabilités des bibliothèques et des dépendances open source.

En outre, l’extension Snyk Visual Studio Code prend désormais aussi en charge l’analyse de code et de Composer pour PHP. Cette fonction est particulièrement utile, car elle met en évidence le code éventuellement non sécurisé pendant que vous l’écrivez et vous permet de savoir si une bibliothèque open source ou une dépendance contient des vulnérabilités cachées.

wordpress-sync/blog-php-security-ga-ide

La version GA de PHP dans Snyk Code vous permet d’approfondir le problème et d’effectuer un traçage si nécessaire dans la base de code. C’est pratique lorsqu’il s’agit de fonctions traçables susceptibles de provenir d’autres points du code.

wordpress-sync/blog-php-security-ga-trace

Testez l’analyse Snyk Code avec notre application de démonstration PHP

Chez Snyk, nous aimons développer des applications de démonstration intentionnellement vulnérables que nous appelons les « applications goof ». C’est un excellent moyen de mettre la main à la pâte et de détecter les vulnérabilités. Avec le lancement du support PHP dans Snyk Code, nous avons ajouté une appli goof PHP.

Nous allons passer en revue quelques exemples en utilisant l’appli goof PHP. Pour l’essayer, vous devez avoir un compte Snyk. Si vous n’en avez pas encore, vous pouvez en créer un en quelques secondes gratuitement.

Pour commencer, connectez-vous au tableau de bord Snyk, puis ajoutez un projet. Pour cette analyse, vous pouvez utiliser l’option de surveillance du référentiel public pour analyser le référentiel de l’appli goof PHP, ou vous pouvez « forker » le code et vous connecter au référentiel de votre choix.

wordpress-sync/blog-php-security-ga-goof

Conseil : l’analyse des référentiels publics est également utile pour pouvoir analyser les projets open source que vous utilisez tous les jours.

L’analyse ne prend que quelques instants, et vous pouvez déjà voir que quelques problèmes ont été identifiés à la fois dans le code et dans les manifestes des paquets. Snyk Code identifie des dizaines de types de problèmes et littéralement des millions de combinaisons « source to sink » de dataflows. Examinons deux exemples très courants à l’aide de l’appli goof PHP.

Injection SQL

La première chose que vous remarquerez après avoir exécuté une analyse est la facilité avec laquelle Snyk Code examine votre code. Dans la capture d’écran ci-dessous, vous pouvez constater qu’il identifie une requête de base de données à laquelle est transmise une saisie non nettoyée.

wordpress-sync/blog-php-security-ga-sql-injection

En plus de faire apparaître les vulnérabilités de manière rapide et compréhensible, Snyk Code fournit également une analyse des correctifs et des conseils de remédiation. Si vous n’avez pas, en tant que développeur PHP, une connaissance approfondie de la sécurité, vous ignorez peut-être qu’il existe différentes façons de gérer en toute sécurité le nettoyage des saisies en PHP, via une bibliothèque ou avec la fonction filter_var. Snyk fournit l’expertise de la sécurité en temps réel dont vous avez besoin pour garder votre code sécurisé, et constitue une source d’apprentissage.

Si vous souhaitez en savoir plus sur la sécurité PHP, consultez notre article 5 façons de prévenir l’injection de code PHP.

Utilisation d’identifiants codés en dur

Dans l’appli goof, nous avons intentionnellement utilisé des identifiants MySQL codés en dur afin qu’ils apparaissent dans le cadre de l’analyse de Snyk Code. Comme vous pouvez le voir dans la capture d’écran ci-dessous, Snyk Code les a détectés et les a signalés comme un problème. (Une manière plus sûre de gérer les identifiants de code pourrait être de les stocker en tant que variables d’environnement, soit sur la plateforme, soit dans un fichier d’environnement).

wordpress-sync/blog-php-security-ga-hard-coded

Vulnérabilités open source

En outre, l’analyse a également identifié un problème avec une version d’une bibliothèque open source du manifeste Composer. Celle-ci a été intentionnellement insérée dans l’appli afin de démontrer comment une vulnérabilité de type cross-site scripting peut être introduite.

wordpress-sync/blog-php-security-ga-xss

Commencez à sécuriser vos projets PHP

Nous espérons que vous vous réjouissez comme nous de la prise en charge de PHP dans Snyk Code par GA. Essayez-le par vous-même avec un compte Snyk gratuit et envoyez-nous vos commentaires.

Sécurisez votre code à mesure que vous l’écrivez

Snyk analyse votre code pour y détecter d’éventuels problèmes de qualité et de sécurité, et vous fournit des conseils pour les corriger directement dans votre IDE.

Watch now

Publié dans:Sécurité du code
wordpress-sync/blog-social-php-composer

Vous voulez l’essayer par vous-même ?

See the process for assessing, selecting, and implementing a modern SAST solution based on a four phase process and find the best fit for your specific security needs.

Réservez une démo en ligne
Patch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo Segment

Snyk est une plateforme de sécurité des développeurs. S’intégrant directement aux outils, workflows et pipelines de développement, Snyk facilite la détection, la priorisation et la correction des failles de sécurité dans le code, les dépendances, les conteneurs et l’infrastructure en tant que code (IaC). Soutenu par une intelligence applicative et sécuritaire de pointe, Snyk intègre l'expertise de la sécurité au sein des outils de chaque développeur.

Démarrez gratuitementRéservez une démo en ligne

Produit

Qu’est-ce que Snyk ?Snyk Code (SAST)Snyk Open Source (SCA)Snyk ContainerSnyk Infrastructure as CodeSnyk AppRisk (ASPM)Plateforme de sécurité des développeursSécurité des applicationsSécurité de la chaîne d’approvisionnement logicielleSécurité du code généré par l’IA DeepCode AITarifsOptions de déploiementIntégrationsPlugins pour les IDESécurité GitSécurité des pipelines de CI/CDSnyk CLISnyk LearnSnyk pour JavaScript

Ressources

DocumentationDocuments sur l’API SnykStatut de l’APIVulnérabilités divulguéesPortail de support et FAQBlogPrincipes fondamentaux de la sécuritéRessources pour les leaders de la sécuritéRessources pour les hackers éthiquesBase de données des vulnérabilitésSnyk OSS AdvisorTop 10 de SnykVidéosRessources client

Société

À proposClientsCarrièresÉvénementsSnyk pour le secteur publicDossier de presseSécurité et confianceMentions légalesConfidentialitéPour les résidents de Californie : Ne vendez pas mes informations à caractère personnelConditions d'utilisation du site web

Connexion

Réservez une démo en ligneContactez-nousSupportSignaler une nouvelle vulnérabilité

Sécurité

Sécurité des applicationsSécurité des conteneursSécurité de la chaîne d’approvisionnementSécurité JavascriptSécurité open sourceSécurité AWSSDLC sécuriséPosture de sécuritéCode sécuriséHacking éthiqueL’IA dans la cybersécuritéVérificateur de codePythonCybersécurité en entrepriseJavaScriptSnyk With GitHubComparaison Snyk/VeracodeSnyk vs Checkmarx

© 2024 Snyk Limited
Enregistré en Angleterre et au Pays de Galles

logo-devseccon