Abbiamo un cliente che è molto interessato all'introduzione di codice dannoso nei moduli di terze parti, in particolare i moduli che provengono da Magento Connect (o qualsiasi modulo gratuito) Vorrebbero utilizzare uno di questi moduli ma vogliono essere certi che il modulo non contiene codice che consentirebbe a un hacker di accedere a diverse parti del proprio sito Magento.
La mia domanda è questa: esiste uno strumento che potremmo usare per scansionare il codice alla ricerca di contenuti? Qualcosa del genere, ma forse più in profondità.
function check($contents,$file) {
$this->scanned_files[] = $file;
if(preg_match('/eval\((base64|eval|\$_|\$\$|\$[A-Za-z_0-9\{]*(\(|\{|\[))/i',$contents)) {
$this->infected_files[] = $file;
}
}
Anche un servizio che può essere eseguito sul server web.
Idealmente, se esistesse un servizio che scansionasse ogni commit prima che il codice entrasse nel repository sarebbe l'ideale.