Upgrade to Pro — share decks privately, control downloads, hide ads and more …

私たちはなぜ PHP をこまめにアップデートしないといけないのか? 〜攻めと守り、両面から見...

Avatar for Masaki Yokoyama Masaki Yokoyama
July 19, 2025
0
82

私たちはなぜ PHP をこまめにアップデートしないといけないのか? 〜攻めと守り、両面から見たバージョンアップの本当の意味〜

PHPのアップデートといえば、新しい文法や関数が使えるようになって開発者体験が向上した!みたいなどちらかというと攻めの意味合いに目が行きがちだと思います。
しかし実際に CVE 対応を検討する中で、OS のバージョンによりパッチの適用に課題が生じた経験から、“守り”の視点の重要性を実感しました。
このLTでは、アップデートにおける“語られない守り”に光を当て、今を守りながら未来を選び取るための向き合い方を共有します。

https://heartbleed.com/
https://qiita.com/sk888/items/fdf56ab2b7fbdbc5a883
https://hub.docker.com/_/php/tags?ordering=-name&name=buster&page=46
https://laravelversions.com/ja

Avatar for Masaki Yokoyama

Masaki Yokoyama

July 19, 2025
Tweet

More Decks by Masaki Yokoyama

See All by Masaki Yokoyama
PHPで巨大データ検索の高速化: strposと計算量の重要性
Avatar for Masaki Yokoyama myblackcat7112
0
120
var_dumpとvar_exportの理解から始めるPHPのソースコードリーディング
Avatar for Masaki Yokoyama myblackcat7112
0
1.1k
[PHPerKaigi 2023] 問い合わせ調査に素早く回答するための「アキネイター」的アプローチの模索
Avatar for Masaki Yokoyama myblackcat7112
0
460

Featured

See All Featured
Fight the Zombie Pattern Library - RWD Summit 2016
Avatar for Marcelo Somers marcelosomers
234
17k
The Art of Programming - Codeland 2020
Avatar for Erika Heidi erikaheidi
54
13k
Intergalactic Javascript Robots from Outer Space
Avatar for Vicent Martí tanoku
271
27k
Imperfection Machines: The Place of Print at Facebook
Avatar for Scott Boms scottboms
267
13k
Faster Mobile Websites
Avatar for Dean Hume deanohume
308
31k
Building Applications with DynamoDB
Avatar for Matt Wood mza
95
6.5k
Sharpening the Axe: The Primacy of Toolmaking
Avatar for Bryan Cantrill bcantrill
44
2.4k
GraphQLの誤解/rethinking-graphql
Avatar for sonatard sonatard
71
11k
Done Done
Avatar for chrislema chrislema
184
16k
Rebuilding a faster, lazier Slack
Avatar for samanthasiow samanthasiow
83
9.1k
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
5.6k
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
Avatar for Tammy Everts tammyeverts
8
360

Transcript

  1. 私たちはなぜ PHP をアップデートしないといけ ないのか? 
 〜攻めと守り、両面から見たバージョンアップ の本当の意味〜
 PHPカンファレンス関西 2025 


    まさき。


  2. 私たちはなぜ PHP をこまめにアップデートし ないといけないのか? 
 〜攻めと守り、両面から見たバージョンアップ の本当の意味〜
 PHPカンファレンス関西 2025 


    まさき。


  3. PHPやフレームワークの
 アップデートをこまめにしてますか??


  4. やらなきゃいけないのはわかってるけどできてない、、、


  5. Attribute コンストラクタ プロモーション match式 名前付き引数 JITコンパイルでの高速化 (攻め) PHP8系にバージョンアップするモチベーション


  6. Attribute コンストラクタ プロモーション match式 名前付き引数 JITコンパイルでの高速化 PHP8系にバージョンアップするモチベーション
 じゃあこれらを使わないという選択をすれば、 バージョンアップをしなくてもいい?

  7. 否!

  8. バージョンアップはプロダクトの未来を守る行為


  9. こんなひと
 まさき。(kuroneko913 || myblackcat7112) 
 NE株式会社でWebエンジニアをやっています。 
 横浜での坂道散歩
 リアル脱出ゲーム →

    一緒に行ってくれる人募集中 
 
 LIKE (YouTube)
 手子商事開発
 しぐれうい
 バイエンス


  10. 脆弱性って怖いですよねぇ


  11. Heartbleed 心臓出血
 2014年に発覚した脆弱性 CVE-2014-0160
 SSLの死活監視機能 HeartBeatのバグを悪用すると
 メモリ上の情報を64KBずつ盗み出すことができてしまう。
 実際に情報漏洩にもつながったものである。
 https://heartbleed.com/ 


  12. None

  13. どうせ攻撃されても当たらないでしょ?


  14. 当たるかどうかじゃない、ロックオンされたら攻撃者は当たるま でやる。
 サービス停止
 情報漏洩


  15. 攻撃者にとっては1回でも当たれば勝ち
 私たちはたったの1回でも当てられてはいけない
 
 最悪の場合プロダクトが終わってしまう。。。 


  16. 脆弱性対応でのこまった!な事例
 ライブラリに脆弱性が見つかり、脆弱性対応がされているバージョンにアップデートした かった!
 
 が、今のOSのバージョンでは、そのライブラリの最新版をパッケージマネージャーからイ ンストールできなかった。
 OSのバージョンを上げようとするとPHPのバージョンも上げる必要があった。


  17. PHPが古いということは、新しいOSが使えないことにも
 bullseye(debian11) bookworm(debian12) buster(debian10) 7.1.30 8.5.0 https://hub.docker.com/_/php/tags? ordering=-name&name=buster&pa ge=46

  18. 結局... 
 有志が用意してくれたリポジトリからパッケージを取得するようにして回避
 あやうくOSのバージョンアップか、ライブラリをソースからビルドして検証するコストを払う ことになるところだった
 
 → こまめにアップデートしていれば数分だったのに、数時間、数日規模の対応が必要に なるところだった
 


  19. Laravelのバージョンも
 Laravel 8 Laravel 9 Laravel 7 Laravel 10 Laravel

    11 Laravel 12 7.2
 8.4


  20. PHPのバージョンアップをしていないだけなのに、、、
 脆弱性対応などの際の選択肢が減ってしまったり
 対応に時間がかかってしまうことになる
 未来の選択肢に関わってくる
 


  21. Laravelアプリ3年くらいバージョン塩漬け事件


  22. Laravelもセキュリティリスクにさらされてる
 https://github.com/laravel/framework/security/advisories

  23. AIでテストコードを書いて無事バージョンアップ済み!


  24. まとめ
 (攻め) 新しい機能や関数が使えて開発者体験が改善する
 (守り) 脆弱性対応などの際の選択肢を残しておくため
 
 攻撃者はたった1回の大インパクトを狙っているので、その1回を回避するためにも、守り の意味でもこまめにバージョンアップするのが大事!
 プロダクトや事業を未来へつなぐ意味もありそう!


  25. こまめに、PHPやフレームワークのバージョンアップを
 プロダクトを積極的に守るためにもやっていきましょ!