Безопасно ли иметь композитора в производстве?
Безопасно/нормально ли использовать composer в рабочей среде на сервере, на котором размещен Magento?
2 answers
С точки зрения безопасности нет проблем до тех пор, пока composer.json, композитор.блокировка и каталог поставщиков находятся за пределами корневого каталога документа. Это имеет место , если вы используете рекомендуемую настройку с pub
в качестве корневого документа . В противном случае вам следует настроить свой веб-сервер таким образом, чтобы не было доступа к этим файлам (например, Deny from all
в конфигурации Apache)
Почему это проблематично, если файлы композитора видны снаружи
- Раскрытие информации: Злоумышленники могут видеть точную версию всех модулей и библиотек и легко искать известные уязвимости
- Потенциальные угрозы безопасности в библиотечных файлах: Например, в PHPUnit недавно был обнаружен один эксплойт. Файлы PHPUnit никогда не должны были быть доступны из Интернета, но если вы не защитите
vendor
, они будут доступны. Подробности: https://www.cvedetails.com/cve/CVE-2017-9841 /
Чтобы запретить списки каталогов (например, в целях безопасности), вам следует удалить ключевое слово Indexes из каждой директивы Options в файле конфигурации. Или чтобы предотвратить их только для одного каталога, вы можете использовать:
<Directory "/">
Options -Indexes
</Directory>