Slide 1

Slide 1 text

1 © 2012-2020 BASE, Inc. PHPerのための CVEデータベースの紹介 ナガノ(@glassmonkey)

Slide 2

Slide 2 text

2 © 2012-2020 BASE, Inc. 自己紹介 所属 BASE BANK株式会社 Software Developer フルサイクルエンジニア Go, PHP, Pythonあたりをよく書いています 趣味 Flutterアプリ開発の勉強 締め切りに追われること SNS Twitter: @glassmonekey 永野 峻輔 (ながの しゅんすけ) 大阪に帰って元気な姿を確認

Slide 3

Slide 3 text

3 © 2012-2020 BASE, Inc. 今日話すこと セキュリティ情報が 身近なツールから 取得できますよ

Slide 4

Slide 4 text

© 2012-2020 BASE, Inc. Q. PHPerにとって 身近なツールって?

Slide 5

Slide 5 text

5 © 2012-2020 BASE, Inc. A. Composer https://getcomposer.org/

Slide 6

Slide 6 text

6 © 2012-2020 BASE, Inc. Composerといえば Version 2 おめでとう~

Slide 7

Slide 7 text

© 2012-2020 BASE, Inc. 閑話休題

Slide 8

Slide 8 text

© 2012-2020 BASE, Inc. Composerの役割

Slide 9

Slide 9 text

9 © 2012-2020 BASE, Inc. Composerの役割 外部依存

Slide 10

Slide 10 text

10 © 2012-2020 BASE, Inc. 外部依存の実績 composer.lock

Slide 11

Slide 11 text

11 © 2012-2020 BASE, Inc. 外部依存の実績 やばい可能性がある

Slide 12

Slide 12 text

© 2012-2020 BASE, Inc. composer.lock見てくれるくん

Slide 13

Slide 13 text

13 © 2012-2020 BASE, Inc. security-advisories https://github.com/FriendsOfPHP/security-advisories

Slide 14

Slide 14 text

14 © 2012-2020 BASE, Inc. security-advisories パッケージごとにやばいやつ(CVEなど)が記録されている

Slide 15

Slide 15 text

15 © 2012-2020 BASE, Inc. 最近マージされた例 Drupal Core関係(12月5日) https://github.com/FriendsOfPHP/security-advisories/pull/513/files

Slide 16

Slide 16 text

16 © 2012-2020 BASE, Inc. 使い方 $ symfony security:check /path/to/composer.lock Symfony CLIツール $ php checker.phar security:check /path/to/composer.lock PHP CLIツール (https://github.com/sensiolabs/security-checker)

Slide 17

Slide 17 text

17 © 2012-2020 BASE, Inc. https://security.symfony.com/ 使い方(有料)

Slide 18

Slide 18 text

18 © 2012-2020 BASE, Inc. 結果

Slide 19

Slide 19 text

19 © 2012-2020 BASE, Inc. GithubActionとか ● 公式 https://github.com/marketplace/actions/the-php-security-checker ● 自作 https://github.com/marketplace/actions/php-audit-action

Slide 20

Slide 20 text

20 © 2012-2020 BASE, Inc. まとめ composer.lockは大事