1 © 2012-2020 BASE, Inc. PHPerのための CVEデータベースの紹介 ナガノ(@glassmonkey)

2 © 2012-2020 BASE, Inc. 自己紹介 所属 BASE BANK株式会社 Software Developer フルサイクルエンジニア Go, PHP, Pythonあたりをよく書いています 趣味 Flutterアプリ開発の勉強 締め切りに追われること SNS Twitter: @glassmonekey 永野 峻輔 (ながの しゅんすけ） 大阪に帰って元気な姿を確認

3 © 2012-2020 BASE, Inc. 今日話すこと セキュリティ情報が 身近なツールから 取得できますよ

© 2012-2020 BASE, Inc. Q. PHPerにとって 身近なツールって?

5 © 2012-2020 BASE, Inc. A. Composer https://getcomposer.org/

6 © 2012-2020 BASE, Inc. Composerといえば Version 2 おめでとう~

© 2012-2020 BASE, Inc. 閑話休題

© 2012-2020 BASE, Inc. Composerの役割

9 © 2012-2020 BASE, Inc. Composerの役割 外部依存

10 © 2012-2020 BASE, Inc. 外部依存の実績 composer.lock

11 © 2012-2020 BASE, Inc. 外部依存の実績 やばい可能性がある

© 2012-2020 BASE, Inc. composer.lock見てくれるくん

13 © 2012-2020 BASE, Inc. security-advisories https://github.com/FriendsOfPHP/security-advisories

14 © 2012-2020 BASE, Inc. security-advisories パッケージごとにやばいやつ(CVEなど)が記録されている

15 © 2012-2020 BASE, Inc. 最近マージされた例 Drupal Core関係(12月5日) https://github.com/FriendsOfPHP/security-advisories/pull/513/files

16 © 2012-2020 BASE, Inc. 使い方 $ symfony security:check /path/to/composer.lock Symfony CLIツール $ php checker.phar security:check /path/to/composer.lock PHP CLIツール (https://github.com/sensiolabs/security-checker)

17 © 2012-2020 BASE, Inc. https://security.symfony.com/ 使い方(有料）

18 © 2012-2020 BASE, Inc. 結果

19 © 2012-2020 BASE, Inc. GithubActionとか ● 公式 https://github.com/marketplace/actions/the-php-security-checker ● 自作 https://github.com/marketplace/actions/php-audit-action

20 © 2012-2020 BASE, Inc. まとめ composer.lockは大事