Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Gestion des failles de sécurité dans l'écosystè...

Avatar for Robin Chalas Robin Chalas
July 16, 2025
Programming
0
3

Gestion des failles de sécurité dans l'écosystème PHP/Symfony

Avez-vous idée de comment se déroule la correction d'une vulnérabilité dans notre écosystème ?

Signalement, discrétion, validation, mesure d'impact, coordination inter-projets ... C'est tout un processus dont chaque étape doit être traîtée minutieusement avant qu'une faille puisse être révélée et son correctif mis à disposition de l'ensemble de la communauté, afin de protéger nos projets.

Ça demande beaucoup de travail, génère une pression conséquente, et c'est principalement un effort bénévole pour lequel chaque intervenant•e donne de son temps personnel.

Curieux•se d'en savoir plus ? Je vous montre comment ça se passe de l'intérieur avec le cas de Symfony et des nombreux projets communautaires qui en dépendent.
Avatar for Robin Chalas

Robin Chalas

July 16, 2025
Tweet

More Decks by Robin Chalas

See All by Robin Chalas
Symfony Console Facelift
Avatar for Robin Chalas chalasr
2
460
Symfony Authentication: What's Next? (Meetup AFUP Poitiers 12/12/24)
Avatar for Robin Chalas chalasr
1
120
Symfony Authentication: What's next? (SymfonyCon Vienna 2024)
Avatar for Robin Chalas chalasr
2
190
Réinventer le composant Console de Symfony
Avatar for Robin Chalas chalasr
4
1.7k
GNAP: The future of OAuth
Avatar for Robin Chalas chalasr
0
370
DDD & API Platform 3
Avatar for Robin Chalas chalasr
0
200
Secure and Practical Authentication in API Platform
Avatar for Robin Chalas chalasr
0
220
Introduction to Json Web Token (JWT)
Avatar for Robin Chalas chalasr
0
170

Other Decks in Programming

See All in Programming
SQLアンチパターン第2版 データベースプログラミングで陥りがちな失敗とその対策 / Intro to SQL Antipatterns 2nd
Avatar for Takuto Wada twada
PRO
18
3.7k
マッチングアプリにおけるフリックUIで苦労したこと
Avatar for yuhei yuheiito
0
190
ご注文の差分はこちらですか? 〜 AWS CDK のいろいろな差分検出と安全なデプロイ
Avatar for Kenji Kono konokenj
4
580
TypeScriptでDXを上げろ! Hono編
Avatar for Yusuke Wada yusukebe
3
770
チームのテスト力を総合的に鍛えて品質、スピード、レジリエンスを共立させる/Testing approach that improves quality, speed, and resilience
Avatar for Hiroki Iseri goyoki
5
1.2k
Azure AI Foundryではじめてのマルチエージェントワークフロー
Avatar for 瀬尾佳隆 seosoft
0
200
AI Agent 時代のソフトウェア開発を支える AWS Cloud Development Kit (CDK)
Avatar for Kenji Kono konokenj
6
810
スタートアップの急成長を支えるプラットフォームエンジニアリングと組織戦略
Avatar for Yusuke Suto sutochin26
1
7.3k
顧客の画像データをテラバイト単位で配信する 画像サーバを WebP にした際に起こった課題と その対応策 ~継続的な取り組みを添えて~
Avatar for Takuya TAKAHASHI takutakahashi
4
1.3k
20250704_教育事業におけるアジャイルなデータ基盤構築
Avatar for Uchide Hiroki(ucchi-) hanon52_
5
1.1k
What's new in AppKit on macOS 26
Avatar for 1024jp 1024jp
0
150
GPUを計算資源として使おう!
Avatar for prime number primenumber
1
250

Featured

See All Featured
Designing for humans not robots
Avatar for Tammie Lister tammielis
253
25k
A designer walks into a library…
Avatar for Paul Jervis Heath pauljervisheath
207
24k
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
Avatar for Tammy Everts tammyeverts
8
340
Adopting Sorbet at Scale
Avatar for Ufuk Kayserilioglu ufuk
77
9.5k
The Language of Interfaces
Avatar for Des Traynor destraynor
158
25k
Designing for Performance
Avatar for Lara Hogan lara
610
69k
The Art of Programming - Codeland 2020
Avatar for Erika Heidi erikaheidi
54
13k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
47
9.6k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
8
840
Agile that works and the tools we love
Avatar for Rasmus Luckow-Nielsen rasmusluckow
329
21k
Learning to Love Humans: Emotional Interface Design
Avatar for Aarron Walter aarron
273
40k
BBQ
Avatar for Matthew Crist matthewcrist
89
9.7k

Transcript

  1. Gestion des failles de sécurité

  2. Robin Chalas github.com/chalasr chalasr.bsky.social x.com/chalas_r PHP Consultant / Symfony Core

    Team / baksla.sh Co-founder
  3. None

  4. Qu’est-ce qu’une faille de sécurité ?

  5. C’est un bug qui peut être exploité à des fins

    malveillantes.

  6. Pourquoi Symfony souffre-t-il de failles de sécurité ?

  7. Plus il y a de code, plus il y a

    de bugs™.
  8. None

  9. Plus un code interagit avec le monde exterieur, plus la

    surface d’attaque est grande.

  10. Et plus un code est utilisé, plus il est sujet

    à être attaqué.
  11. None
  12. None

  13. La sécurité absolue n’existe pas.

  14. Comment on fait du coup ?

  15. Étape 1. Disclosure

  16. Nouveau ticket sur dépôt mirroir secret

  17. 👀

  18. On confirme SANS DÉLAI au reporter qu’on est sur l’affaire

    (ACK). Étape 1. Disclosure

  19. La Core Team analyse le signalement, confirme ou infirme la

    vulnérabilité, et informe le reporter. Étape 2. Confirmer

  20. Ici pas de débat.

  21. Pas toujours évident.

  22. On identifie ensuite les versions impactées e.g. 5.4, 6.4, 7.2

  23. Étape 3. Correctif Une Pull Request sur le même dépôt

    privé, à l’initiative volontaire d’un membre de la Core Team.

  24. Parfois, le reporter lui-même fournit un patch.

  25. None

  26. Relecture

  27. Et merge

  28. Étape 4 - Coordination On identifie les projets commautaires impactés

    ainsi que les projets tiers membres du programme.

  29. Coordination - Partenaires Pour les projets tiers, un mirroir dédié

    du projet est créé afin de tenter d’y intégrer le patch et d’en discuter avec les mainteneurs.

  30. Coordination - Release Date La date de publication du correctif

    est déterminée avec les éventuels partenaires impactés.

  31. Étape 5 - Security Advisory

  32. Étape 5 - Security Advisory

  33. Sévérité - Méthode de calcul Symfony

  34. CVSS - Méthode de calcul standarde

  35. Le jour J : Release

  36. git push sur le dépôt public

  37. tag + release

  38. Dans la foulée, on publie le security advisory.

  39. None

  40. Puis on le partage dans l’annuaire des security advisories de

    PHP.
  41. None
  42. None

  43. Et pour finir, un blogpost.

  44. Take home security.txt composer audit / dependabot / renovate

  45. Merci ! 🍻