PHP Version Audit 镜像文档

镜像概述和主要用途

PHP Version Audit 是一款便捷工具，用于轻松检查特定 PHP 版本是否存在定期更新的 CVE 漏洞、最新发布版本及生命周期结束（EOL）日期。它可帮助用户了解 PHP 版本的安全状态、支持阶段和更新情况，但并非漏洞检测/缓解工具、厂商特定版本跟踪工具，也不能替代对 PHP 发布和安全漏洞的主动关注。

核心功能和特性

• 列出特定 PHP 版本的已知 CVE 漏洞详情
• 支持检查运行时 PHP 版本或手动指定版本
• 显示 PHP 版本的生命周期结束（EOL）日期
• 检测最新发布版本，支持按补丁/次要/主要版本粒度配置（如 7.3.0 可检测到 7.3.33（补丁）、7.4.27（次要）或 8.1.1（最新））
• 规则每两天自动更新，信息直接来源于 php.net，无需等待人工合并更新
• 多接口支持：Docker、CLI（通过 Composer）、直接代码调用
• 易于脚本化集成到 CI/CD 工作流，所有输出为 JSON 格式，便于工具（如 jq）解析
• 可配置退出条件，如通过 --fail-security 标志在发现 CVE 或安全支持结束时返回非零退出码
• 零依赖，轻量易用

使用场景和适用范围

• CI/CD 流程集成：部署前自动检查 PHP 版本安全性，确保生产环境使用无漏洞版本
• 版本验证：在开发或测试阶段验证 PHP 版本是否为最新安全版本
• 系统审计：定期检查服务器或应用使用的 PHP 版本生命周期状态，及时发现过时版本
• 安全合规：确保使用的 PHP 版本仍在安全支持期内，符合安全规范

详细使用方法和配置说明

示例输出

bash
docker run --rm -t lightswitch05/php-version-audit:latest --version=8.0.12

输出示例（JSON 格式）：

json
{
    "auditVersion": "8.0.12",
    "hasVulnerabilities": true,
    "hasSecuritySupport": true,
    "hasActiveSupport": true,
    "isLatestPatchVersion": false,
    "isLatestMinorVersion": false,
    "isLatestVersion": false,
    "latestPatchVersion": "8.0.14",
    "latestMinorVersion": "8.1.1",
    "latestVersion": "8.1.1",
    "activeSupportEndDate": "2022-11-26T00:00:00+0000",
    "securitySupportEndDate": "2023-11-26T00:00:00+0000",
    "rulesLastUpdatedDate": "2022-01-18T02:13:52+0000",
    "vulnerabilities": {
        "CVE-2021-21707": {
            "id": "CVE-2021-21707",
            "baseScore": 5.3,
            "publishedDate": "2021-11-29T07:15:00+0000",
            "lastModifiedDate": "2022-01-04T16:12:00+0000",
            "description": "在 PHP 7.3.x 低于 7.3.33、7.4.x 低于 7.4.26 和 8.0.x 低于 8.0.13 版本中，某些 XML 解析函数（如 simplexml_load_file()）会对传入的文件名进行 URL 解码。若文件名包含 URL 编码的 NUL 字符，可能导致函数将其解释为文件名结束，从而读取与用户预期不同的文件。"
        }
    }
}

Docker 使用方法

Docker 是使用该工具的推荐方式，简单快捷。

检查指定 PHP 版本

bash
docker run --rm -t lightswitch05/php-version-audit:latest --version=8.1.1

检查主机 PHP 版本

通过命令替换获取主机 PHP 版本并检查：

bash
docker run --rm -t lightswitch05/php-version-audit:latest --version=$(php -r 'echo phpversion();')

受限网络（代理环境）配置

在需要通过 HTTPS 代理访问外部网络时，需配置代理环境变量并挂载可信证书目录（证书文件需带 .crt 扩展名，参考 update-ca-certificates 工具说明）：

bash
docker run --rm -t \
  -e https_proxy='[***] \
  --volume /full/path/to/trusted/certs/directory:/usr/local/share/ca-certificates \
  lightswitch05/php-version-audit:latest --version=8.1.1

命令行参数说明

输出字段说明

工具输出为 JSON 格式，包含以下关键信息字段：

• auditVersion: 被审计的 PHP 版本号
• hasVulnerabilities: 是否存在已知 CVE 漏洞（布尔值）
• hasSecuritySupport: 是否仍在安全支持期内（布尔值）
• hasActiveSupport: 是否仍在主动（bug）支持期内（布尔值）
• isLatestPatchVersion: 是否为最新补丁版本（如 7.3.x 的最新补丁）
• isLatestMinorVersion: 是否为最新次要版本（如 7.x 的最新版本）
• isLatestVersion: 是否为最新 PHP 版本
• latestPatchVersion: 最新补丁版本号
• latestMinorVersion: 最新次要版本号
• latestVersion: 最新 PHP 版本号
• activeSupportEndDate: 主动支持结束日期（ISO8601 格式，null 表示未知）
• securitySupportEndDate: 安全支持结束日期（ISO8601 格式）
• rulesLastUpdatedDate: 规则最后更新日期（ISO8601 格式，每天更新两次）
• vulnerabilities: CVE 漏洞详情对象，键为 CVE ID，值包含漏洞评分、日期及描述

项目目标

• 信息准确性：规则自动更新，确保漏洞和版本信息最新；若信息过期（>2 周）则工具失败，避免误导用户。
• 可靠性：对无效或不存在的 PHP 版本请求返回失败，确保输出信息可信。
• 环境适应性：支持开放和受限网络环境，满足不同部署场景需求。
• 轻量高效：最小化依赖和资源占用，确保在各类环境中快速运行。
• 兼容性：支持运行在仍受***支持的最旧 PHP 版本，自身不引入额外依赖风险。