Trouvez les risques de sécurité et la qualité du code dans votre application PHP.
PHP régit le Web, avec environ 80% de la part de marché. C'est partout - WordPress, Joomla, Lavarel, Drupal, etc.

Le cœur de PHP est sécurisé, mais il y en a beaucoup plus que vous utilisez peut-être et qui pourraient être vulnérables. Après le développement d'un site ou d'une application Web complexe, la plupart des développeurs et propriétaires de sites se concentrent sur la fonctionnalité, le design, le référencement et oublient le composant essentiel - sécurité.
En tant que meilleure pratique, vous devriez envisager d'effectuer une analyse de sécurité par rapport à votre application avant de la mettre en ligne. Cela s'applique à n'importe quel site, petit ou grand. Il existe des outils pour vous aider.
PMF
Recherche de malwares PHP (PMF) est une solution auto-hébergée pour vous aider à trouver d'éventuels codes malveillants dans les fichiers. Il est connu pour détecter les dodgy, les encodeurs, les obfuscateurs, le shellcode Web.

PMF tire parti de YARA, vous en avez donc besoin comme condition préalable pour exécuter le test.
RIPS
RIPS est l'un des outils d'analyse de code statique PHP les plus populaires à intégrer tout au long du cycle de vie du développement pour détecter les problèmes de sécurité en temps réel. Vous pouvez classer les résultats en fonction de la conformité et de la norme du secteur pour hiérarchiser les correctifs.
- OWASP Top 10
- Top 25 SANS
- PCI-DSS
- HIPPA

Jetons un coup d'œil à certaines des fonctionnalités suivantes.
- Identifiez le risque en fonction de la gravité et des options pour définir les pondérations pour critique, élevé, moyen et faible.
- Collaborer à l'enquête et prioriser le problème
- Comprendre l'impact de la vulnérabilité
- Évaluer le risque de sécurité entre l'ancien et le nouveau code
- Créez une liste de tâches et attribuez des tâches à l'aide du système de billetterie
RIPS vous permet d'exporter rapport de résultats de numérisation en plusieurs formats – PDF, CSV et autres à l'aide de l'API RESTful.
Il est disponible en tant que modèle auto-hébergé et SaaS. Alors, choisissez ce qui fonctionne pour vous.
SonarPHP
SonarPHP by SonarSource utilise des techniques de correspondance de modèles et de flux de données pour trouver des vulnérabilités dans les codes PHP. C'est un analyseur de code statique et s'intègre à Eclipse, IntelliJ.

SonarSource vérifie le code par rapport à plus de 140 règles et prend également en charge les règles personnalisées écrites en Java.
Exakat
Un moteur d'analyse de code statique en temps réel pour vérifier la conformité, les risques et renforcer les meilleures pratiques. Exakat obtenu plus de 450 analyseurs dédié à PHP. Il existe des analyseurs spécifiques au framework comme WordPress, CakePHP, Zend, etc.

Si vous avez votre code d'application PHP dans GitHub, vous pouvez utiliser leur analyseur public, sinon vous pouvez choisir de télécharger ou d'utiliser le cloud en ligne.
Avec l'aide d'Exakat, vous pouvez intégrer la sécurité éternelle dans votre application et les suivantes.
- Revue de code automatisée avec plus de 100 règles
- Prêt pour la conformité
- Automatisez la documentation de votre code
- Migration vers PHP 7 simplifiée
Grâce aux rapports robustes, vous pouvez prioriser la correction.
PHPStan
PHP Stan est un outil fantastique pour trouver les bogues lorsque vous écrivez le code. Vous n'avez rien à exécuter.

Vous pouvez essayer la version en ligne ici.
PHPStan nécessite une version 7.1 ou supérieure et un compositeur pour l'utiliser. Cependant, il est capable de découvrir les bogues d'une ancienne version.
Psalm
Construit sur PHP Parser, Psaume est bon pour trouver les erreurs et aider à maintenir la cohérence pour une application meilleure et sécurisée.

Progpilot
Pilote prog L'analyseur statique vous permet de spécifier le type d'analyse comme GET, POST, COOKIE, SHELL_EXEC, etc. Il prend en charge le framework suiteCRM et CodeIgniter pour le moment.
PHP Vulnerability Hunter
Un fuzzer pour rechercher des vulnérabilités à l'aide d'analyses statiques et dynamiques. Ce chasseur est capable de chasser ce qui suit.
- Script inter-site
- Injection SQL
- Lecture arbitraire de fichiers et exécution de commandes
- Inclusion de fichiers locaux
- Divulgation complète du chemin
Le scan se fait en trois phases - initialisation, scan et désinitialisation
Grabber
Grabber, un outil basé sur python pour effectuer une analyse hybride sur une application basée sur PHP à l'aide de PHP-SAT.
Symfony
Surveillance de la sécurité par Symfony fonctionne avec n'importe quel projet PHP utilisant le composeur. Il s'agit d'une base de données de conseils de sécurité PHP pour les vulnérabilités connues. Vous pouvez utiliser PHP-CLI, Symfony-CLI ou basé sur le Web pour vérifier composer.lock pour tous les problèmes connus avec les bibliothèques que vous utilisez dans le projet.

Symfony propose également un service de notification de sécurité. Cela signifie que vous pouvez télécharger votre fichier composer.lock, et chaque fois qu'à l'avenir une bibliothèque utilisée est jugée vulnérable, vous en serez averti.
Conclusion
J'espère qu'en utilisant les outils ci-dessus, vous sécurisez vos applications PHP. Tous les outils répertoriés se concentrent sur l'analyse du code source, et si vous avez besoin de plus, consultez un scanner de sécurité open-source.
Une fois votre application prête, n'oubliez pas d'ajouter un WAF basé sur le cloud pour une sécurité continue depuis le réseau périphérique.