Upgrade to Pro — share decks privately, control downloads, hide ads and more …

PHPerのための CVEデータベースの紹介

384e4d8bab8ac2a5e6f64dab1300c491?s=47 glassmonenkey
December 12, 2020

PHPerのための CVEデータベースの紹介

何とかペイとか何とか口座やらでセキュリティインシデントが改めて重要視される世の中になってきました。
そのための情報収集、アップデートを管理することはエンジニアにとって義務といっても過言ではないでしょう。

しかし、優先順位の問題で手をつけられてなかったり、工数の問題で本格的に着手できてないといったこともあるのではないでしょうか?
そこで今回は我々PHPerが普段使うcomposer.lockからセキュリティインシデントのうちCVEの識別子が付与されたものを見つけてくれるツール及びデータベースを紹介します。

384e4d8bab8ac2a5e6f64dab1300c491?s=128

glassmonenkey

December 12, 2020
Tweet

Transcript

  1. 1 © 2012-2020 BASE, Inc. PHPerのための CVEデータベースの紹介 ナガノ(@glassmonkey)

  2. 2 © 2012-2020 BASE, Inc. 自己紹介 所属 BASE BANK株式会社 Software

    Developer フルサイクルエンジニア Go, PHP, Pythonあたりをよく書いています 趣味 Flutterアプリ開発の勉強 締め切りに追われること SNS Twitter: @glassmonekey 永野 峻輔 (ながの しゅんすけ) 大阪に帰って元気な姿を確認
  3. 3 © 2012-2020 BASE, Inc. 今日話すこと セキュリティ情報が 身近なツールから 取得できますよ

  4. © 2012-2020 BASE, Inc. Q. PHPerにとって 身近なツールって?

  5. 5 © 2012-2020 BASE, Inc. A. Composer https://getcomposer.org/

  6. 6 © 2012-2020 BASE, Inc. Composerといえば Version 2 おめでとう~

  7. © 2012-2020 BASE, Inc. 閑話休題

  8. © 2012-2020 BASE, Inc. Composerの役割

  9. 9 © 2012-2020 BASE, Inc. Composerの役割 外部依存

  10. 10 © 2012-2020 BASE, Inc. 外部依存の実績 composer.lock

  11. 11 © 2012-2020 BASE, Inc. 外部依存の実績 やばい可能性がある

  12. © 2012-2020 BASE, Inc. composer.lock見てくれるくん

  13. 13 © 2012-2020 BASE, Inc. security-advisories https://github.com/FriendsOfPHP/security-advisories

  14. 14 © 2012-2020 BASE, Inc. security-advisories パッケージごとにやばいやつ(CVEなど)が記録されている

  15. 15 © 2012-2020 BASE, Inc. 最近マージされた例 Drupal Core関係(12月5日) https://github.com/FriendsOfPHP/security-advisories/pull/513/files

  16. 16 © 2012-2020 BASE, Inc. 使い方 $ symfony security:check /path/to/composer.lock

    Symfony CLIツール $ php checker.phar security:check /path/to/composer.lock PHP CLIツール (https://github.com/sensiolabs/security-checker)
  17. 17 © 2012-2020 BASE, Inc. https://security.symfony.com/ 使い方(有料)

  18. 18 © 2012-2020 BASE, Inc. 結果

  19. 19 © 2012-2020 BASE, Inc. GithubActionとか • 公式 https://github.com/marketplace/actions/the-php-security-checker •

    自作 https://github.com/marketplace/actions/php-audit-action
  20. 20 © 2012-2020 BASE, Inc. まとめ composer.lockは大事