Sie sind nicht angemeldet.

Lieber Besucher, herzlich willkommen bei: Webgamers. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

BlackScorp

Moderator

  • »BlackScorp« ist der Autor dieses Themas

Beiträge: 1 281

Wohnort: 127.0.0.1

Danksagungen: 548

  • Nachricht senden

1

Mittwoch, 28. Januar 2015, 08:27

Composer Security check

Hallo Leute,

viele von euch kennen und lieben composer, man gibt einfach ein Package an und installiert es, um alle dependencies kümmert composer von selbst. Jedoch gibt es packages die bekannte Sicherheitslücken beinhalten. Um zu prüfen ob eure Dependencies davon betroffen sind, reicht ein einfaches require von diesem Package https://packagist.org/packages/roave/security-advisories . Es installiert nichts sondern gibt einfach die bekanntesten als conflict an.

Interessant zu sehen laravel/framework: >=4.0.0,<4.0.99|>=4.1.0,<4.1.26|>=4.0.0,<4.0.99|>=4.1.0,<4.1.29 sprich vor 4.1.29 kann es sein dass eure Anwendung betroffen ist;)
Qualität eines Codes misst man in WTF/Sekunde

Es hat sich bereits 1 registrierter Benutzer bedankt.

Benutzer, die sich für diesen Beitrag bedankt haben:

tector (28.01.2015)

ulle

Fortgeschrittener

Beiträge: 243

Danksagungen: 101

  • Nachricht senden

2

Mittwoch, 28. Januar 2015, 09:46

naja wer regelmäßig nen composer update macht, hat das problem mit laravel ja nicht. Aber hat es einen Grund warum du das hier so schreibst? Gibt auch genügend andere Systeme welche Fehler haben ;)

DaBu

Administrator

Beiträge: 1 103

Danksagungen: 547

  • Nachricht senden

3

Mittwoch, 28. Januar 2015, 10:05

Ich glaube er wollte damit nur andeuten, dass auch dieses System nicht sicher ist, wie aber auch sonst keins und Speziell an dem Beispiel von laravel, da dieses hier von vielen genutzt wird.
Irgendwas mit Medien

BlackScorp

Moderator

  • »BlackScorp« ist der Autor dieses Themas

Beiträge: 1 281

Wohnort: 127.0.0.1

Danksagungen: 548

  • Nachricht senden

4

Mittwoch, 28. Januar 2015, 11:18

dabu du hast es genau erfasst:D erstaunlich dass es doch Menschen gibt die den Virrwarr in meinem Kopf nachvollziehen können :D

ulle es sollte nur ein Beispiel sein + composer update reicht nicht aus. wenn natürlich require:"laravel/laravel":"~4" stehen hast, dann schon, aber einige geben eben eine konkrete version an, da kannst du so viel updaten wie du willst.

Um die Laravel leute zu beruhigen, da stehen viel mehr Symfony Components drin als Laravel.. moment.. laravel basiert auf Symfony bzw nutzt die componente auch..
Qualität eines Codes misst man in WTF/Sekunde

Ma27

Fortgeschrittener

Beiträge: 157

Danksagungen: 132

  • Nachricht senden

5

Mittwoch, 28. Januar 2015, 14:19

wirklich ernste Sicherheitsluecken kann man auch mit dem von SensioLabs Security Checker pruefen: https://packagist.org/packages/sensiolabs/security-checker

und dann einfach im post install/post update hook anfuegen: https://github.com/Ma27/SenNetwork/blob/…mposer.json#L42

Ähnliche Themen

Social Bookmarks