Bonjour,
Est-il souhaitable de supprimer les fichiers composer.json et composer.lock sur un environnement de production (pour des raisons de sécurité) ?
Bonjour,
Est-il souhaitable de supprimer les fichiers composer.json et composer.lock sur un environnement de production (pour des raisons de sécurité) ?
En pratique j'ai envie de dire non. Le but de supprimer le fichier composer.json serait d'éviter qu'un attaquant potentiel ne puisse voir les packages installés et leur version pour y chercher une faille connue, mais s'il est possible d'afficher ce fichier depuis l'extérieur il y a un problème bien plus grave : Ca veut dire que le serveur web est mal configuré et permet de lire des fichiers que personne ne devrait lire. Typiquement dans un projet php les fichier composer.json et composer.lock sont à la source, et le serveur web ne laisse accéder qu'aux fichiers contenus dans un sous répertoire /public/ En aucun cas il ne devrait être possible d'aller lire les fichiers à la racine du projet.
Cela dit, de manière plus générale, ne pas déployer (ou supprimer après le déploiement) tout ce qui n'est pas nécessaire au fonctionnement en production est plutôt une bonne pratique pour limiter la surface d'attaque, donc ça ne me parait pas aberrant de décider de ne pas mettre ces fichiers en prod "par principe".
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager