[Pregunta]: ¿Composer genera una vulnerabilidad?

[Leguim]

Básicamente te deja una carpeta en la aplicación que se llama "vendor" con una lista de archivos donde cualquiera podría acceder a ellos mediante la url, y ver lo que contienen estos archivos.

¿Algo de qué preocuparme?

[[u]nsigned]

No deberias preocuparte por eso. Igual d todas formas, si tenes tu proyecto en github, esta tiene un bot que automáticamente te alerta de cualquier issu de seguridad en tus paquetes.

Al menos con NPM (el Composer de NodeJs) funciona sin hacer nada, pero por si queres revisar:

https://docs.github.com/es/code-security/supply-chain-security/managing-vulnerabilities-in-your-projects-dependencies/configuring-dependabot-security-updates

[#!drvy]

¿¿¿Eh???

Sí tienes que preocuparte. Tienes que chapar el acceso a esa carpeta protegiendo el directorio para que solo pueda entrar localhost/127.0.0.1, es decir, la propia máquina o sacarlo fuera del DOCUMENT_ROOT. La mayoría de frameworks de PHP tienen una carpeta específica para DOCUMENT_ROOT y todo lo demás queda a un nivel superior que no debe ser accesible. Si no puedes hacerlo de esa forma, chapa el acceso a esa carpeta.

Además, cualquier librería que uses puede tener una vulnerabilidad desconocida que obviamente puede ser explotada.. para eso se recomiendan actualizaciones frecuentes.

Y siempre asegúrate a desplegar en producción con --no-dev para no desplegar paquetes de desarrollo.


Para cuando github te avisa de una vulnerabilidad, el disclousure está hecho y probablemente ya se está explotando en vivo. Confiar en que te avise para tomar acción es tonteria.

Saludos