Угроза безопасности - composer / instal.json

Question

Недавно я запустил сканирование уязвимостей в одном из моих приложений, и оно заявило, что мой файл 'composer / instal.json' доступен и может содержать конфиденциальную информацию. Сканер расценил это как «высокую» уязвимость.

Достаточно сказать, что я не нашел никакой достойной информации для решения этой проблемы.

Во-первых, безопасно ли удалить этофайл? или это ключевое требование в дополнение к composer.json и composer.lock?

Если нет, следует ли мне что-то делать с моим виртуальным хостом Apache или файлом '.htaccess' в этой папке, чтобы предотвратить доступв этот файл?

Подробности угрозы также особо выделяют эту часть, поэтому я не совсем уверен, относится ли она больше к доктрине, которая является чем-то зависимым.

"suggest": {
      "doctrine/cache": "**Adds support for caching of credentials and responses**",
      "ext-apc": "Allows service description opcode caching, request and response caching, and credentials caching",
      "ext-openssl": "Allows working with CloudFront private distributions and verifying received SNS messages",
      "monolog/monolog": "Adds support for logging HTTP requests and responses",
      "symfony/yaml": "Eases the ability to write manifests for creating jobs in AWS Import/Export"
    },

Любые мысли будут оценены!

Спасибо

Джеймс

Answer 1

Если ваш каталог ./vendor (этот файл vendor/composer/installed.json) доступен из браузера, то у вас есть проблема больше, чем файл JSON.

Единственный каталог, который должен быть доступен для загрузкиэто ваш каталог ./public (или, возможно, ./web) с файлом index.php («фронт-контроллер») и css, javascript, изображениями и другими файлами, которые составляют ваш сайт и должны быть загружены вbrowser.

Этот файл является запиской от Composer о том, какие другие пакеты составляют остальную часть каталога vendor, - и собран из файлов composer.json в других пакетах, аналогично composer.lock файл.