PHP 依赖漏洞扫描器（php-vuln-scanner）

扫描 PHP 项目的 Composer 依赖，识别已知安全漏洞（CVE/Advisory），并给出与路由/入口的关联推断框架。

输入

• source_path：源码根目录

支持目标：

• composer.json
• composer.lock
• 目录递归（在多个子模块下找 composer.lock）

规则与输出

• 规则匹配：使用内置/外部规则集（例如 references/php-vulnerability.yaml，如存在则优先）
• 输出到：

{output_path}/vuln_report/
  {project_name}_composer_vuln_report_{timestamp}.md