Upgrade to Pro — share decks privately, control downloads, hide ads and more …

PHPerのための CVEデータベースの紹介

glassmonenkey
December 12, 2020
Technology
0
1.3k

PHPerのための CVEデータベースの紹介

何とかペイとか何とか口座やらでセキュリティインシデントが改めて重要視される世の中になってきました。
そのための情報収集、アップデートを管理することはエンジニアにとって義務といっても過言ではないでしょう。

しかし、優先順位の問題で手をつけられてなかったり、工数の問題で本格的に着手できてないといったこともあるのではないでしょうか?
そこで今回は我々PHPerが普段使うcomposer.lockからセキュリティインシデントのうちCVEの識別子が付与されたものを見つけてくれるツール及びデータベースを紹介します。

glassmonenkey

December 12, 2020
Tweet

More Decks by glassmonenkey

See All by glassmonenkey
パッケージ管理ツール Ryeへの旅路
nagano
1
470
PHPerにとってのWebAssemblyの可能性
nagano
1
1.3k
PHPをブラウザで動かす技術
nagano
0
2.2k
PHPとWebAssembly
nagano
19
5.1k
アジャイルで始める データ分析基盤構築
nagano
1
3.2k
Goで始めるTDD
nagano
1
2.8k
Python製の姓名分割 ライブラリをGoに移植した話
nagano
0
1.4k
PHPとGraphQL
nagano
3
5.4k
BASEの資金調達サービスを New Relicで楽に パフォーマンス改善できた話
nagano
0
1.4k

Other Decks in Technology

See All in Technology
クライアントサイドでよく使われる Debounce処理 をサーバサイドで3回実装した話
yoshiori
1
150
Apple/Google/Amazonの決済システムの違いを踏まえた定期購読課金システムの構築 / abema-billing-system
cyberagentdevelopers
PRO
1
210
顧客が本当に必要だったもの - パフォーマンス改善編 / Make what is needed
soudai
24
6.7k
カメラを用いた店内計測におけるオプトインの仕組みの実現 / ai-optin-camera
cyberagentdevelopers
PRO
1
120
VPC間の接続方法を整理してみた #自治体クラウド勉強会
non97
1
800
MAMを軸とした動画ハンドリングにおけるAI活用前提の整備と次世代ビジョン / abema-ai-mam
cyberagentdevelopers
PRO
1
110
君は隠しイベントを見つけれるか?
mujyun
0
280
2024-10-30-reInventStandby_StudyGroup_Intro
shinichirokawano
1
610
Shift-from-React-to-Vue
calm1205
3
1.2k
ガチ勢によるPipeCD運用大全〜滑らかなCI/CDを添えて〜 / ai-pipecd-encyclopedia
cyberagentdevelopers
PRO
3
200
10分でわかるfreee エンジニア向け会社説明資料
freee
18
520k
プロダクトチームへのSystem Risk Records導入・運用事例の紹介/Introduction and Case Studies on Implementing and Operating System Risk Records for Product Teams
taddy_919
1
160

Featured

See All Featured
Fontdeck: Realign not Redesign
paulrobertlloyd
81
5.2k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.2k
Code Review Best Practice
trishagee
64
17k
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.8k
Testing 201, or: Great Expectations
jmmastey
38
7k
It's Worth the Effort
3n
183
27k
The Art of Programming - Codeland 2020
erikaheidi
51
13k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
Statistics for Hackers
jakevdp
796
220k
A Philosophy of Restraint
colly
203
16k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
131
33k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
46
2.1k

Transcript

  1. 1 © 2012-2020 BASE, Inc. PHPerのための CVEデータベースの紹介 ナガノ(@glassmonkey)

  2. 2 © 2012-2020 BASE, Inc. 自己紹介 所属 BASE BANK株式会社 Software

    Developer フルサイクルエンジニア Go, PHP, Pythonあたりをよく書いています 趣味 Flutterアプリ開発の勉強 締め切りに追われること SNS Twitter: @glassmonekey 永野 峻輔 (ながの しゅんすけ) 大阪に帰って元気な姿を確認

  3. 3 © 2012-2020 BASE, Inc. 今日話すこと セキュリティ情報が 身近なツールから 取得できますよ

  4. © 2012-2020 BASE, Inc. Q. PHPerにとって 身近なツールって?

  5. 5 © 2012-2020 BASE, Inc. A. Composer https://getcomposer.org/

  6. 6 © 2012-2020 BASE, Inc. Composerといえば Version 2 おめでとう~

  7. © 2012-2020 BASE, Inc. 閑話休題

  8. © 2012-2020 BASE, Inc. Composerの役割

  9. 9 © 2012-2020 BASE, Inc. Composerの役割 外部依存

  10. 10 © 2012-2020 BASE, Inc. 外部依存の実績 composer.lock

  11. 11 © 2012-2020 BASE, Inc. 外部依存の実績 やばい可能性がある

  12. © 2012-2020 BASE, Inc. composer.lock見てくれるくん

  13. 13 © 2012-2020 BASE, Inc. security-advisories https://github.com/FriendsOfPHP/security-advisories

  14. 14 © 2012-2020 BASE, Inc. security-advisories パッケージごとにやばいやつ(CVEなど)が記録されている

  15. 15 © 2012-2020 BASE, Inc. 最近マージされた例 Drupal Core関係(12月5日) https://github.com/FriendsOfPHP/security-advisories/pull/513/files

  16. 16 © 2012-2020 BASE, Inc. 使い方 $ symfony security:check /path/to/composer.lock

    Symfony CLIツール $ php checker.phar security:check /path/to/composer.lock PHP CLIツール (https://github.com/sensiolabs/security-checker)

  17. 17 © 2012-2020 BASE, Inc. https://security.symfony.com/ 使い方(有料)

  18. 18 © 2012-2020 BASE, Inc. 結果

  19. 19 © 2012-2020 BASE, Inc. GithubActionとか • 公式 https://github.com/marketplace/actions/the-php-security-checker •

    自作 https://github.com/marketplace/actions/php-audit-action

  20. 20 © 2012-2020 BASE, Inc. まとめ composer.lockは大事