Automatyczne skryptu do audytu aplikacji PHP

Mjuzik

2025-01-24 16:00

Mjuzik2025-01-24 16:00

Rejestracja:ponad 8 lat
Ostatnio:około 5 godzin
Postów:717

0

Cześć,

Jakie znacie narzędzia do audytu aplikacji PHP w Symfony?
Szukam automatów, które sprawdzą aplikację pod kątem aktualizacji, jakości kodu, testów, bezpieczeństwa na podstawie kodu źródłowego aplikacji.

Kilka narzędzi oczywiście znam, ale jestem ciekaw Waszej opinii i doświadczeń

ccwrc

2025-01-24 16:16

ccwrc2025-01-24 16:16

Rejestracja:prawie 9 lat
Ostatnio:około 6 godzin
Postów:383

1

Ja na początku używam asystenta AI: zwykła prośba o analizę [tu podaję co, gdzie, itd.] pod kątem 1. dobrych praktyk 2. zgodności ze wzorcami 3. czytelności .... n. sugestie poprawek.

Co do wszystkich narzędzi mam już tylko jeden wniosek: nie ma testów? To nie będzie prawidłowej aktualizacji. Sorry.

Zobacz pozostałe 2 komentarze

Mjuzik 2025-01-24 19:49

Potrzebuję zrobić analizę całego kodu, co do tego żeby na razie robić to AI nie jestem przekonany. AI często się myli nie znając kontekstu.

ccwrc 2025-01-24 19:53

No, tak. To TY nadajesz kontekst. Trzeba być czasami bardzo dosłownym, np. "Przeanalizuj folder X pod kątem standardów kodowania opisanych w PSR-1, PSR-2, PSR-12 uwzględniając fakt, że PSR-2 ma status deprecated. Jeśli masz jakiekolwiek wątpliwości lub pytania to przed wygenerowaniem pełnej odpowiedzi zadaj je wcześniej".

Mjuzik 2025-01-24 19:54

Z jakiego konkretnie narzędzia korzystasz?

ccwrc 2025-01-24 19:58

Z tego: https://4programmers.net/Forum/Nietuzinkowe_tematy/375265-ai_gpt_gemini_cloude_i_inni_jak_korzystacie ściślej: https://www.jetbrains.com/ai/ narzędzie zoptymalizowane pod kątem programowania. Jak spytasz się o recenzję serialu TV to każe ci spierniczać. Ale pomimo wytykania przeze mnie czasami niekompetencji nigdy nie nazwało mnie rasistą. Doceniam ; )

Mjuzik 2025-01-24 19:59

Dzięki za odpowiedź, chętnie sprawdzę :)

jurek1980

2025-01-24 16:42

jurek19802025-01-24 16:42

Rejestracja:ponad 8 lat
Ostatnio:14 minut
Postów:3510

1

PHPSTAN + Sonarqube + composer (komenada outdated listuje nowe paczki)
Kiedyś korzystałem też z CheckmarkX, funkcjonalność jak SonarQube, ale było płatne i drogie i było to już kilka lat temu.
Teraz płatnie funkcjonalność skanowania ma Gitlab, ale nie korzystałem z tego jeszcze na produkcji, natomiast opisy zapowiadają dobre narzędzie.
A i mieliśmy coś takiego w jednej firmie zapięte, co prawda pod Laravel ale powinno działać.
https://github.com/enlightn/security-checker
To tylko sprawdza użyte paczki pod kątem CVE.

edytowany 1x, ostatnio: jurek1980 2025-01-24 16:44

Mjuzik 2025-01-24 19:47

Dzięki, nie znałem composer outdated.

Mjuzik 2025-01-24 23:03

@jurek1980: ale to nie była ironia jak coś 🙂

Mjuzik

2025-01-24 19:52

Mjuzik2025-01-24 19:52

Rejestracja:ponad 8 lat
Ostatnio:około 5 godzin
Postów:717

0

Korzystaliście może z symfony insight? https://insight.symfony.com/
Na pewno użyję też php mess detector

jurek1980 2025-01-24 20:42

Nie. Chyba drogie, dochodzi licencja na Blackfire.

Mjuzik

2025-02-06 20:05

Mjuzik2025-02-06 20:05

Rejestracja:ponad 8 lat
Ostatnio:około 5 godzin
Postów:717

1

Podsumowując wątek napisze Wam z czego skorzystałem.

PHP Mess Detector - raport w formacie html, dotyczący jakości kodu.
Symfony Insights - raport skanujący aplikację pod kątem dobrych praktyk w Symfony
Composer audit - polecenie skanujące zalezności pod kątem zgłoszonych podatności. Minus, że nie pozwala wygenerować raportu i trzeba ręcznie kopiować wyniki.
Yarn audit - to samo, jak composer audit tą różnicą, że wyniki można zapisać do pliku