Недавно на реддите засветился блог https://www.kernelmode.blog где автор нашел несколько уязвимых пакетов — один из них ‘symfont/process’ имитирующий популярный `symfony/process`. Второй — переименованный форк qr-code -генератора для Laravel с добавлением бэкдора. И я подозреваю, что это далеко не единственные случаи. Поэтому, особенно для новичков, будет не лишним напомнить о необходимости
- Просматривать исходный код расширений, которые ставите
- Добавить в зависимости пакет https://github.com/Roave/SecurityAdvisories
- Можно использовать Github Action https://github.com/marketplace/actions/the-php-security-checker
Для дополнительных проверок:
