9个最佳的PHP代码安全扫描器，用于查找漏洞

在您的PHP应用程序中查找安全风险和代码质量。

PHP统治着网络，市场份额达到80％左右。它无处不在 – WordPress，Joomla，Lavarel，Drupal等。

PHP核心是安全的，但在其之上有很多其他可能会受到攻击的组件。在网站或复杂的Web应用程序开发之后，大多数开发人员和站点所有者关注功能，设计，SEO，而忽视了重要的组成部分 – 安全性。

作为最佳实践，您应该在上线前对应用程序进行安全扫描。这适用于任何网站 – 不论大小。有一些工具可以帮助您完成这项任务。

PMF

PHP Malware Finder (PMF)是一个自助式解决方案，可帮助您查找文件中可能存在的恶意代码。它可以检测到可疑的编码器，模糊器和Web Shell代码。

PMF利用了YARA，因此您需要将其作为先决条件来运行测试。

RIPS

RIPS是一种流行的PHP静态代码分析工具，可通过开发生命周期集成，以实时查找安全问题。您可以按行业合规性和标准对发现的问题进行分类，以优先处理修复。

• OWASP前十名
• SANS前25名
• PCI-DSS
• HIPPA

让我们来看一下以下几个功能。

• 根据严重程度确定风险，并可以定义关键、高、中和低的权重。
• 协作调查并优先处理问题
• 了解漏洞的影响
• 评估新旧代码之间的安全风险
• 使用工单系统创建待办事项列表并分配任务

RIPS允许您使用RESTful API导出scan results report into multiple formats – PDF、CSV和其他格式。

它可以作为自助式和SaaS模型提供。因此，请选择适合您的工具。

SonarPHP

SonarSource的SonarPHP使用模式匹配和数据流技术来查找PHP代码中的漏洞。它是一种静态代码分析工具，并与Eclipse、IntelliJ集成。

SonarSource检查代码是否符合140多个规则，并支持使用Java编写的自定义规则。

Exakat

一种实时静态代码分析引擎，用于检查合规性、风险和加强最佳实践。 Exakat有450多个专用于PHP的分析器。还有特定于框架的分析器，如WordPress，CakePHP，Zend等。

如果您的PHP应用程序代码存储在GitHub中，则可以使用其公共分析器，否则可以选择下载或使用基于云的在线工具。

借助Exakat的帮助，您可以将外部安全性集成到应用程序中，并实现以下功能。

• 使用100多个规则自动进行代码审查
• 满足合规要求
• 自动化代码文档
• 简化PHP 7迁移

借助强大的报告功能，您可以优先处理修复工作。

PHPStan

PHPStan是一种奇妙的工具，可以在编写代码时发现错误，您无需运行任何内容。

您可以尝试在线版本here。

PHPStan需要7.1或更高版本以及composer进行使用。但是，它能够检测出旧版本的错误。

Psalm

建立在PHP Parser之上的Psalm可用于查找错误，并帮助保持一致性，以获得更好和更安全的应用程序。

Progpilot

Progpilot静态分析器使您可以指定分析类型，例如GET、POST、COOKIE、SHELL_EXEC等。目前它支持suiteCRM和CodeIgniter框架。

Grabber

Grabber是一个基于Python的工具，可使用PHP-SAT对基于PHP的应用程序执行混合分析。

Symfony

通过Symfony的安全监控可以与任何使用composer的PHP项目一起使用。它是一个用于已知漏洞的PHP安全咨询数据库。您可以使用PHP-CLI、Symfony-CLI或基于Web的方式检查composer.lock文件，以查找项目中使用的库是否存在已知问题。

Symfony还提供了安全通知服务。这意味着您可以上传composer.lock文件，以便在将来发现任何已使用的库存在漏洞时得到通知。

结论

我希望通过使用以上工具，您可以使您的PHP应用程序更加安全。所有列出的工具都专注于分析源代码，如果您需要更多信息，请查看open-source security scanner。

一旦您的应用程序准备就绪，请不要忘记添加cloud-based WAF以获取来自边缘网络的持续安全保护。