Security Advisories Checker on Travis/Circle CI

3,418 views

Published on

phpblt #2 での slide
SensioLabs の Security Advisories Checker で CI をまわすはなし

Published in: Internet
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
3,418
On SlideShare
0
From Embeds
0
Number of Embeds
2,199
Actions
Shares
0
Downloads
3
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Security Advisories Checker on Travis/Circle CI

  1. 1. Security Advisories Checker on (Travis|Circle) CI PHP BLT#2 @serima
  2. 2. @serima • PHP Developer @ Zappallas • mag2 -> GREE -> Zappallas • http://serima.co/blog • Recent topics • WordPress on PHP 7, HTTP/2 • Setup Sakura-VPS with Ansible • 最近の興味 • 二酸化炭素濃度の計測(まだやってない!)
  3. 3. SensioLabs Security Advisories Checker • SensioLabs 社製のライブラリ脆弱性チェッカー
  4. 4. SensioLabs • Symfony / Twig / Silex などを開発しているフランスの 会社 • 最近だと、プロファイラツール blackfire.io をリリース した
  5. 5. composer.lock で判定 • Online Checker • ウェブ上で composer.lock をアップロード • CLI Checker • CLI Tool をダウンロードしてコマンドライン実行 • Web API • SensioLabs 上にエンドポイントが用意されている
  6. 6. 継続的脆弱性チェック • 各種インタフェースが提供されているので、CI に組み 込み、継続的脆弱性チェックが簡単に可能
  7. 7. How to integrate • composer require sensiolabs/security-checker • composer update • git add composer.json composer.lock • git commit -m ‘Integrate security-checker’
  8. 8. TravisCI - .travis.yml language: php php: - 5.6 before_script: - composer self-update - composer install - chmod -R 777 storage script: - vendor/bin/security-checker security:check - phpunit
  9. 9. CircleCI - circle.yml machine: timezone: Asia/Tokyo php: version: 5.6.14 test: override: - vendor/bin/security-checker security:check - vendor/bin/phpunit
  10. 10. Test • swiftmailer/swiftmailer は 5.2.1 未満のバージョンに脆 弱性がある • ためしに 5.0.0 を
 インストールするよう
 指定してみる
  11. 11. Test • ちゃんと fail しました • 脆弱性の内容も表示されています
  12. 12. Test • 最新版を入れるように設定して再度チャレンジ • ちゃんと green になりました
  13. 13. 脆弱性データベース • このリポジトリに登録されているものが脆弱性データベー スとして使われている • https://github.com/FriendsOfPHP/security- advisories • This database must not serve as the primary source of information for security issues, it is not authoritative for any referenced software, but it allows to centralize information for convenience and easy consumption.
  14. 14. まとめ • ほぼコストゼロでライブラリの脆弱性チェックが可能 になるので、入れておいて損はないです • が、先程も言ったとおり完全に信頼してしまわないよ うに注意🃏 • JVN など他のデータベースは別途チェックしましょう • https://github.com/serima/security-checker-on-lumen • サンプルを置いておきました
  15. 15. おわり🍔

×