Uno de los elementos favorables en la CI (Integración continua) es el uso de un paso dedicado a la aplicación de Sensiolabs para la detección de fallas de seguridad no sólo en nuestro código sino en los paquetes de terceros (vendors). Hoy tras mucho tiempo sin dedicarme a ello, me encontré con un error en el despliegue de CI en un proyecto nuevo.
$ php security-checker security:check ../composer.lock The web service failed for an unknown reason (HTTP 403). Cleaning up file based variables ERROR: Job failed: exit code
Contenidos
Para la integración continua uso sensiolabs en mi gitlab personal, en un paso (stage). Originalmente he usado en mi .gitlab-ci.yml
:
sensiolabs: stage: security script: - test -d security-checker || git clone https://github.com/sensiolabs/security-checker.git - cd security-checker - composer install - php security-checker security:check ../composer.lock dependencies: [] cache: paths: - security-checker/
Pero esto me llevó al fallo del artículo.
Tras una búsqueda localicé el paquete original en Packgist con una advertencia indicándome que el paquete estaba abandonado y el enlace al paquete actual mantenido por Fabien Potencier (aka fabpot).
Local PHP Security Checker es el paquete actual, y esta programado en Go, por lo que las instrucciones son claras.
sensiolabs: stage: security image: edbizarro/gitlab-ci-pipeline-php:7.3 script: - curl -L -sS --output local-php-security-checker https://github.com/fabpot/local-php-security-checker/releases/download/v1.0.0/local-php-security-checker_1.0.0_linux_amd64 - chmod +x ./local-php-security-checker - ./local-php-security-checker dependencies: [] cache: paths: - security-checker/
Después de esto, nuestro repositorio podrá ejecutar el paso (stage) de seguridad sensiolabs de forma correcta.
También puedes instalarlo como paquete en el dev de tu proyecto
❯ composer require --dev thibautselingue/local-php-security-checker-installer ❯ vendor/bin/local-php-security-checker-installer && vendor/bin/local-php-security-checker Symfony Security Check Report ============================= No packages have known vulnerabilities. Note that this checker can only detect vulnerabilities that are referenced in the security advisories database. Execute this command regularly to check the newly discovered vulnerabilities.
Comparte este articulo en
No es la primera vez que me encuentro con el agotamiento de la memoria en…
Descubre cómo solucionar problemas de acceso a servidores con Centos 7, Almalinux 8, Ubuntu 20.04…
Uno de los mensajes más alarmantes que puedes encontrarte es aquel que indica que tu…
La seguridad de nuestro sitio web es de vital importancia en el mundo digital actual.…
Los ficheros SVG son archivos gráficos vectoriales escalables ampliamente utilizados en diseño web. Aunque no…
En este artículo, te guiamos en la solución de problemas de errores 500 en Castris…