[Owasp-brazilian] PHP_CodeSniffer

Myke mykesh at gmail.com
Tue Jul 8 09:19:09 EDT 2008


Eu dei uma olhada na ferramenta e não tem muita coisa de segurança.
A ferramenta tá bem no começo, é beta, o que explica a ausência de
funcionalidadades de segurança.
A maioria das funcionalidades é para evitar que a aplicação sofra com
bugs de funcionalidade e coisas do tipo, é claro que padrões/políticas
de codificação evitam issues de (in)segurança.

Os caras tem mérito pq afinal de contas é uma implementação
interessante, não é uma mera análise estática.

sds

Myke



2008/7/8 Rodrigo Montoro(Sp0oKeR) <spooker at gmail.com>:
> Hmmm....tava pensando que era algo on the fly =)!!!
>
> Valeu das explicações ehehehe!
>
>
> []zz!
>
> 2008/7/8 Wagner Elias <wagner.elias at gmail.com>:
>>
>> Fala Rodrigo!
>>
>> pelo conteúdo das perguntas acho que você está achando que é uma
>> verificação estilo IDS, comparando assinaturas. Correto?
>>
>> A ferramenta não analisa em tempo de execução e sim na hora que você
>> está desenvolvendo. É função semelhante ao Visual Studio da Microsoft,
>> que você pode configurar ele para alertar no momento da compilação
>> caso você esteja usando funções "perigosas".
>>
>> Neste caso não existe overhead nenhum para o usuário, porque a
>> verificação é feita apenas no ambiente de desenvolvimento pelo
>> programador. Um tipo de validação. As políticas ficam no ambiente de
>> desenvolvimento, junto com o PHP_CodeSniffer.
>>
>> Esta página mostra como usar a ferramenta:
>> http://pear.php.net/manual/en/package.php.php-codesniffer.usage.php
>>
>> Quem deseja usar um IDS para php recomendo o PHPIDS
>> (http://php-ids.org/) ou usar o mod_security do apache.
>>
>> Abs.
>> --
>> Wagner Elias
>> http://wagnerelias.com
>>
>> 2008/7/7 Rodrigo Montoro(Sp0oKeR) <spooker at gmail.com>:
>> > Wagner,
>> >    Eu não sou programador, mas isso dependendo da quantidade de
>> > politicas
>> > poderia causar muito overhead no codigo ? Outra, onde ficaria essas
>> > politicas, no proprio servidor?
>> >
>> >
>> > []z! Rodrigo Montoro(Sp0oKeR)
>> >
>> > On Mon, Jul 7, 2008 at 6:37 PM, Wagner Elias <wagner.elias at gmail.com>
>> > wrote:
>> >>
>> >> O que acham desta ferramenta?
>> >> http://pear.php.net/package/PHP_CodeSniffer
>> >>
>> >> Eu escrevi um pequeno post sobre ela:
>> >> http://wagnerelias.com/2008/07/07/php-and-javascript-code-sniffer/
>> >>
>> >>
>> >> --
>> >> Att.
>> >> Wagner Elias
>> >> http://wagnerelias.com
>> >> _______________________________________________
>> >> Owasp-brazilian mailing list
>> >> Owasp-brazilian at lists.owasp.org
>> >> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>> >
>> >
>> >
>> > --
>> > ===========================
>> > Rodrigo Montoro (Sp0oKeR)
>> > Security Analyst
>> > SnortCP / RHCE / LPIC-I / MCSO
>> > http://www.spooker.com.br
>> > http://www.snort.org.br
>> > http://www.linkedin.com/in/spooker
>> > ===========================
>
>
>
> --
> ===========================
> Rodrigo Montoro (Sp0oKeR)
> Security Analyst
> SnortCP / RHCE / LPIC-I / MCSO
> http://www.spooker.com.br
> http://www.snort.org.br
> http://www.linkedin.com/in/spooker
> ===========================
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
>


More information about the Owasp-brazilian mailing list