Segurança do PHP no Snyk Code agora publicamente disponível
DeveloperSteve Coochin
26 de janeiro de 2022
0 minutos de leituraRecentemente, anunciamos a versão beta para suporte a PHP no Snyk Code, que trouxe a capacidade de identificar possíveis vulnerabilidades de segurança do PHP no nível do código. Depois de um programa beta público de sucesso, o suporte para segurança do PHP no Snyk Code agora está publicamente disponível.
O PHP é uma linguagem de programação popular usada por desenvolvedores em todo o mundo. Nesta postagem, veremos alguns dos recursos do Snyk Code e como eles podem ser usados com o PHP. Também daremos alguns exemplos para ajudar você a dar os primeiros passos, independentemente da sua experiência de desenvolvimento.
Atualizações com disponibilidade pública
O suporte para segurança do PHP no Snyk Code é adicional à verificação de PHP existente, que confere manifestos de compositores para identificar vulnerabilidades de dependências e bibliotecas de código aberto.
Além disso, a extensão Snyk Visual Studio Code agora também oferece suporte para verificações de código e compositores para PHP. Isso é particularmente útil porque realça o código possivelmente não seguro enquanto você o escreve e permite identificar se há vulnerabilidades ocultas em uma dependência ou biblioteca de código aberto.
Com a versão publicamente disponível para PHP no Snyk Code, você pode se aprofundar no problema e realizar o rastreamento quando necessário na base de código. Esse recurso ajuda a lidar com funções rastreáveis que podem se originar de outros pontos do código.
Teste a verificação do Snyk Code com o aplicativo de demonstração para PHP
Uma das coisas que adoramos na Snyk é criar aplicativos de demonstração intencionalmente vulneráveis, que chamamos de aplicativos goof. Essa é uma ótima maneira de colocar a mão na massa e encontrar vulnerabilidades em aplicativos reais. Com o lançamento do suporte para PHP no Snyk Code, adicionamos um aplicativo goof PHP.
Vamos examinar alguns exemplos usando o aplicativo goof PHP. Para experimentar por conta própria, é preciso ter uma conta da Snyk. Se ainda não tem uma, você pode criá-la gratuitamente em poucos segundos.
Para começar, faça login no painel da Snyk e adicione um projeto. Na verificação, você pode usar a opção de monitoramento de repositório público para verificar o repositório do aplicativo goof PHP ou bifurcar o código e conectar-se ao repositório da sua escolha.
Dica: a verificação do repositório público também é útil para varrer os projetos de código aberto que você usa todos os dias.
A verificação demora apenas alguns instantes, e você já pode ver que há alguns problemas identificados no código e também nos manifestos de pacotes. O Snyk Code identifica dezenas de tipos de problemas e literalmente milhões de combinações de fontes e coletores de fluxos de dados. Vamos dar uma olhada em dois exemplos muito comuns usando o aplicativo goof PHP.
Injeção de SQL
A primeira coisa que você notará depois de executar uma verificação é como o Snyk Code facilita a inspeção do código. Na captura de tela abaixo, observe como ele identifica uma consulta de banco de dados que está sendo transmitida como entrada não sanitizada.
Além de revelar vulnerabilidades de maneira rápida e compreensível, o Snyk Code também fornece análise de correção e conselhos de retificação. Se desenvolve em PHP e não tem um histórico sólido de segurança, talvez não saiba que existem várias maneiras seguras para lidar com a sanitização de entradas em PHP, seja usando uma biblioteca, seja usando a função filter_var
. A Snyk fornece o conhecimento de segurança em tempo real necessário para manter seu código seguro e também pode ensinar você durante a jornada.
Se tiver interesse em saber mais sobre a segurança do PHP, confira a publicação sobre as cinco maneiras de evitar a injeção de código PHP.
Uso de credenciais codificadas
No aplicativo goof, usamos intencionalmente credenciais MySQL codificadas para que apareçam como parte da verificação do Snyk Code. Como você pode ver na captura de tela abaixo, o Snyk Code detectou isso e o sinalizou como um problema. Uma maneira mais segura de lidar com credenciais de código seria armazená-las como variáveis de ambiente, tanto na plataforma quanto em um arquivo de ambiente.
Vulnerabilidades de código aberto
Além disso, a verificação também identificou um problema com uma versão de uma biblioteca de código aberto do manifesto do compositor. Isso foi intencionalmente incluído no aplicativo para demonstrar como uma vulnerabilidade de script entre sites pode ser introduzida.
Comece a proteger seus projetos PHP
Estamos contentes com o lançamento público do suporte a PHP no Snyk Code, e esperamos que você se sinta da mesma forma. Experimente por conta própria com uma conta da Snyk gratuita e fique à vontade para nos enviar seu feedback.
Primeiros passos com Capture the Flag
Saiba como resolver desafios de Capture the Flag assistindo ao nosso workshop virtual de conceitos básicos sob demanda.