Upgrade to Pro — share decks privately, control downloads, hide ads and more …

PHPerのための CVEデータベースの紹介

glassmonenkey
December 12, 2020
Technology
0
1.3k

PHPerのための CVEデータベースの紹介

何とかペイとか何とか口座やらでセキュリティインシデントが改めて重要視される世の中になってきました。
そのための情報収集、アップデートを管理することはエンジニアにとって義務といっても過言ではないでしょう。

しかし、優先順位の問題で手をつけられてなかったり、工数の問題で本格的に着手できてないといったこともあるのではないでしょうか?
そこで今回は我々PHPerが普段使うcomposer.lockからセキュリティインシデントのうちCVEの識別子が付与されたものを見つけてくれるツール及びデータベースを紹介します。

glassmonenkey

December 12, 2020
Tweet

More Decks by glassmonenkey

See All by glassmonenkey
パッケージ管理ツール Ryeへの旅路
nagano
1
480
PHPerにとってのWebAssemblyの可能性
nagano
1
1.3k
PHPをブラウザで動かす技術
nagano
0
2.2k
PHPとWebAssembly
nagano
19
5.1k
アジャイルで始める データ分析基盤構築
nagano
1
3.2k
Goで始めるTDD
nagano
1
2.8k
Python製の姓名分割 ライブラリをGoに移植した話
nagano
0
1.4k
PHPとGraphQL
nagano
3
5.5k
BASEの資金調達サービスを New Relicで楽に パフォーマンス改善できた話
nagano
0
1.4k

Other Decks in Technology

See All in Technology
10XにおけるData Contractの導入について: Data Contract事例共有会
10xinc
6
650
複雑なState管理からの脱却
sansantech
PRO
1
150
誰も全体を知らない ~ ロールの垣根を超えて引き上げる開発生産性 / Boosting Development Productivity Across Roles
kakehashi
1
230
OS 標準のデザインシステムを超えて - より柔軟な Flutter テーマ管理 | FlutterKaigi 2024
ronnnnn
0
170
ノーコードデータ分析ツールで体験する時系列データ分析超入門
negi111111
0
410
Amazon Personalizeの レコメンドシステム構築、実際何するの? 〜大体10分で具体的なイメージをつかむ〜
kniino
1
100
Amazon CloudWatch Network Monitor のススメ
yuki_ink
1
210
Platform Engineering for Software Developers and Architects
syntasso
1
520
TanStack Routerに移行するのかい しないのかい、どっちなんだい! / Are you going to migrate to TanStack Router or not? Which one is it?
kaminashi
0
600
強いチームと開発生産性
onk
PRO
35
11k
Incident Response Practices: Waroom's Features and Future Challenges
rrreeeyyy
0
160
TypeScript、上達の瞬間
sadnessojisan
46
13k

Featured

See All Featured
How to train your dragon (web standard)
notwaldorf
88
5.7k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
KATA
mclloyd
29
14k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
42
9.2k
Building a Scalable Design System with Sketch
lauravandoore
459
33k
Being A Developer After 40
akosma
87
590k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
4
370
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
31
2.7k
Imperfection Machines: The Place of Print at Facebook
scottboms
265
13k
Gamification - CAS2011
davidbonilla
80
5k
Facilitating Awesome Meetings
lara
50
6.1k
5 minutes of I Can Smell Your CMS
philhawksworth
202
19k

Transcript

  1. 1 © 2012-2020 BASE, Inc. PHPerのための CVEデータベースの紹介 ナガノ(@glassmonkey)

  2. 2 © 2012-2020 BASE, Inc. 自己紹介 所属 BASE BANK株式会社 Software

    Developer フルサイクルエンジニア Go, PHP, Pythonあたりをよく書いています 趣味 Flutterアプリ開発の勉強 締め切りに追われること SNS Twitter: @glassmonekey 永野 峻輔 (ながの しゅんすけ) 大阪に帰って元気な姿を確認

  3. 3 © 2012-2020 BASE, Inc. 今日話すこと セキュリティ情報が 身近なツールから 取得できますよ

  4. © 2012-2020 BASE, Inc. Q. PHPerにとって 身近なツールって?

  5. 5 © 2012-2020 BASE, Inc. A. Composer https://getcomposer.org/

  6. 6 © 2012-2020 BASE, Inc. Composerといえば Version 2 おめでとう~

  7. © 2012-2020 BASE, Inc. 閑話休題

  8. © 2012-2020 BASE, Inc. Composerの役割

  9. 9 © 2012-2020 BASE, Inc. Composerの役割 外部依存

  10. 10 © 2012-2020 BASE, Inc. 外部依存の実績 composer.lock

  11. 11 © 2012-2020 BASE, Inc. 外部依存の実績 やばい可能性がある

  12. © 2012-2020 BASE, Inc. composer.lock見てくれるくん

  13. 13 © 2012-2020 BASE, Inc. security-advisories https://github.com/FriendsOfPHP/security-advisories

  14. 14 © 2012-2020 BASE, Inc. security-advisories パッケージごとにやばいやつ(CVEなど)が記録されている

  15. 15 © 2012-2020 BASE, Inc. 最近マージされた例 Drupal Core関係(12月5日) https://github.com/FriendsOfPHP/security-advisories/pull/513/files

  16. 16 © 2012-2020 BASE, Inc. 使い方 $ symfony security:check /path/to/composer.lock

    Symfony CLIツール $ php checker.phar security:check /path/to/composer.lock PHP CLIツール (https://github.com/sensiolabs/security-checker)

  17. 17 © 2012-2020 BASE, Inc. https://security.symfony.com/ 使い方(有料)

  18. 18 © 2012-2020 BASE, Inc. 結果

  19. 19 © 2012-2020 BASE, Inc. GithubActionとか • 公式 https://github.com/marketplace/actions/the-php-security-checker •

    自作 https://github.com/marketplace/actions/php-audit-action

  20. 20 © 2012-2020 BASE, Inc. まとめ composer.lockは大事