Upgrade to Pro — share decks privately, control downloads, hide ads and more …

PHPerのための CVEデータベースの紹介

glassmonenkey
December 12, 2020
Technology
0
1.2k

PHPerのための CVEデータベースの紹介

何とかペイとか何とか口座やらでセキュリティインシデントが改めて重要視される世の中になってきました。
そのための情報収集、アップデートを管理することはエンジニアにとって義務といっても過言ではないでしょう。

しかし、優先順位の問題で手をつけられてなかったり、工数の問題で本格的に着手できてないといったこともあるのではないでしょうか?
そこで今回は我々PHPerが普段使うcomposer.lockからセキュリティインシデントのうちCVEの識別子が付与されたものを見つけてくれるツール及びデータベースを紹介します。

glassmonenkey

December 12, 2020
Tweet

More Decks by glassmonenkey

See All by glassmonenkey
パッケージ管理ツール Ryeへの旅路
nagano
0
230
PHPerにとってのWebAssemblyの可能性
nagano
0
1.1k
PHPをブラウザで動かす技術
nagano
0
2k
PHPとWebAssembly
nagano
8
4.2k
アジャイルで始める データ分析基盤構築
nagano
1
2.9k
Goで始めるTDD
nagano
1
2.6k
Python製の姓名分割 ライブラリをGoに移植した話
nagano
0
1.1k
PHPとGraphQL
nagano
3
4.9k
BASEの資金調達サービスを New Relicで楽に パフォーマンス改善できた話
nagano
0
1.3k

Other Decks in Technology

See All in Technology
競技としてのKaggle、役に立つKaggle
yu4u
3
1.8k
DevOpsメトリクスとアウトカムの接続にトライ!開発プロセスを通して計測できるメトリクスの活用方法
ham0215
2
240
IaCジェネレーターとBedrockで詳細設計書を生成してみた
tsukasa_ishimaru
1
280
ワールドカフェI /チューターを改良する / World Café I and Improving the Tutors
ks91
PRO
0
120
推しは推せるときに推せ! プロダクトにフィードバックしていこう
nakasho
0
320
Vertex AI を中心に 生成AIのアップデートを共有します
kaz1437
0
310
エンジニアのキャリアをちょっと楽しくする3本の軸/Three Pillars to Make an Engineer's Career More Enjoyable
kwappa
0
2.7k
On Your Data を超えていく!
hirotomotaguchi
2
690
リテール金融(キャッシュレス・ネット銀行・ネット証券)の競争環境と経済圏
8maki
0
1.2k
プロンプトエンジニアリングでがんばらない-Agentic Workflow へ-近藤憲児
kenjikondobai
3
850
Postman v10リリース後を振り返る / Looking back at Postman v10 after release
yokawasa
1
160
EMとして2023年度に頑張ったこと / What we did well in FY2023 as a EM
pauli
1
170

Featured

See All Featured
Art, The Web, and Tiny UX
lynnandtonic
289
19k
What’s in a name? Adding method to the madness
productmarketing
PRO
16
2.6k
Building Flexible Design Systems
yeseniaperezcruz
319
37k
Fireside Chat
paigeccino
21
2.6k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
244
20k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
125
32k
Embracing the Ebb and Flow
colly
80
4.1k
How GitHub Uses GitHub to Build GitHub
holman
468
290k
Ruby is Unlike a Banana
tanoku
96
10k
Web Components: a chance to create the future
zenorocha
305
41k
Building Applications with DynamoDB
mza
88
5.6k
Into the Great Unknown - MozCon
thekraken
10
990

Transcript

  1. 1 © 2012-2020 BASE, Inc. PHPerのための CVEデータベースの紹介 ナガノ(@glassmonkey)

  2. 2 © 2012-2020 BASE, Inc. 自己紹介 所属 BASE BANK株式会社 Software

    Developer フルサイクルエンジニア Go, PHP, Pythonあたりをよく書いています 趣味 Flutterアプリ開発の勉強 締め切りに追われること SNS Twitter: @glassmonekey 永野 峻輔 (ながの しゅんすけ) 大阪に帰って元気な姿を確認

  3. 3 © 2012-2020 BASE, Inc. 今日話すこと セキュリティ情報が 身近なツールから 取得できますよ

  4. © 2012-2020 BASE, Inc. Q. PHPerにとって 身近なツールって?

  5. 5 © 2012-2020 BASE, Inc. A. Composer https://getcomposer.org/

  6. 6 © 2012-2020 BASE, Inc. Composerといえば Version 2 おめでとう~

  7. © 2012-2020 BASE, Inc. 閑話休題

  8. © 2012-2020 BASE, Inc. Composerの役割

  9. 9 © 2012-2020 BASE, Inc. Composerの役割 外部依存

  10. 10 © 2012-2020 BASE, Inc. 外部依存の実績 composer.lock

  11. 11 © 2012-2020 BASE, Inc. 外部依存の実績 やばい可能性がある

  12. © 2012-2020 BASE, Inc. composer.lock見てくれるくん

  13. 13 © 2012-2020 BASE, Inc. security-advisories https://github.com/FriendsOfPHP/security-advisories

  14. 14 © 2012-2020 BASE, Inc. security-advisories パッケージごとにやばいやつ(CVEなど)が記録されている

  15. 15 © 2012-2020 BASE, Inc. 最近マージされた例 Drupal Core関係(12月5日) https://github.com/FriendsOfPHP/security-advisories/pull/513/files

  16. 16 © 2012-2020 BASE, Inc. 使い方 $ symfony security:check /path/to/composer.lock

    Symfony CLIツール $ php checker.phar security:check /path/to/composer.lock PHP CLIツール (https://github.com/sensiolabs/security-checker)

  17. 17 © 2012-2020 BASE, Inc. https://security.symfony.com/ 使い方(有料)

  18. 18 © 2012-2020 BASE, Inc. 結果

  19. 19 © 2012-2020 BASE, Inc. GithubActionとか • 公式 https://github.com/marketplace/actions/the-php-security-checker •

    自作 https://github.com/marketplace/actions/php-audit-action

  20. 20 © 2012-2020 BASE, Inc. まとめ composer.lockは大事