Suche senden
Hochladen
Security Advisories Checker on Travis/Circle CI
•
1 gefällt mir
•
5,979 views
Ryo Shibayama
Folgen
phpblt #2 での slide SensioLabs の Security Advisories Checker で CI をまわすはなし
Weniger lesen
Mehr lesen
Internet
Melden
Teilen
Melden
Teilen
1 von 15
Jetzt herunterladen
Downloaden Sie, um offline zu lesen
Empfohlen
Composer並列化プラグイン #phpblt
Composer並列化プラグイン #phpblt
Hiraku Nakano
Composer による依存管理 と Packagist によるライブラリの公開
Composer による依存管理 と Packagist によるライブラリの公開
Shogo Kawahara
composerの遅さをまじめに考える #phpstudy
composerの遅さをまじめに考える #phpstudy
Hiraku Nakano
はじめてのconcrete5 -さくらスタンダード編-
はじめてのconcrete5 -さくらスタンダード編-
BREN
APACHE HTTP SERVER
APACHE HTTP SERVER
寛之 横嶋
ASP.NET WebAPI 体験記 #clrh99
ASP.NET WebAPI 体験記 #clrh99
Katsuya Shimizu
meguro.rb LT
meguro.rb LT
Tsunenori Oohara
恐るべきApache, Web勉強会@福岡
恐るべきApache, Web勉強会@福岡
Aya Komuro
Empfohlen
Composer並列化プラグイン #phpblt
Composer並列化プラグイン #phpblt
Hiraku Nakano
Composer による依存管理 と Packagist によるライブラリの公開
Composer による依存管理 と Packagist によるライブラリの公開
Shogo Kawahara
composerの遅さをまじめに考える #phpstudy
composerの遅さをまじめに考える #phpstudy
Hiraku Nakano
はじめてのconcrete5 -さくらスタンダード編-
はじめてのconcrete5 -さくらスタンダード編-
BREN
APACHE HTTP SERVER
APACHE HTTP SERVER
寛之 横嶋
ASP.NET WebAPI 体験記 #clrh99
ASP.NET WebAPI 体験記 #clrh99
Katsuya Shimizu
meguro.rb LT
meguro.rb LT
Tsunenori Oohara
恐るべきApache, Web勉強会@福岡
恐るべきApache, Web勉強会@福岡
Aya Komuro
Vagrant で PHP 開発環境を作る ハンズオン
Vagrant で PHP 開発環境を作る ハンズオン
Masashi Shinbara
Vagrant+Ansibleで検証環境を簡単構築
Vagrant+Ansibleで検証環境を簡単構築
Ken Sawada
Ansible/Vagrantでアドテク環境を最速構築
Ansible/Vagrantでアドテク環境を最速構築
kaboccha
composer-scriptsについて
composer-scriptsについて
Hiraku Nakano
Jenkins + awsで並列テスト
Jenkins + awsで並列テスト
Yamamoto Kazuhisa
Rails解説セミナー: Railsのアップグレード編
Rails解説セミナー: Railsのアップグレード編
Yohei Yasukawa
前略,Xamarin.Mac使いより
前略,Xamarin.Mac使いより
Tsubasa Hirano
[jjug] Java と Benchmark
[jjug] Java と Benchmark
Tokuhiro Matsuno
Chef入門
Chef入門
Yasufumi Moritake
Rails解説セミナー: リリースノート解説編
Rails解説セミナー: リリースノート解説編
Yohei Yasukawa
最近のPerlバイナリマネージャー Perl 編
最近のPerlバイナリマネージャー Perl 編
Tokuhiro Matsuno
Ansible softlayer
Ansible softlayer
Hideaki Tokida
130412 kayac-cinnamon
130412 kayac-cinnamon
Yuki Shibazaki
ZabbixとVulsをDocker上で連携
ZabbixとVulsをDocker上で連携
太郎 高橋
【LT】 怖くない恐怖のScala.js
【LT】 怖くない恐怖のScala.js
Yuto Suzuki
仮想マシンを使った開発環境の簡単共有方法
仮想マシンを使った開発環境の簡単共有方法
Hideo Takahashi
進撃のSbt
進撃のSbt
Yuto Suzuki
AnsibleをWerckerでCIして テストが終わると 本番環境が出来てる話
AnsibleをWerckerでCIして テストが終わると 本番環境が出来てる話
Kazuho Murakami
JAWSUG版 PostgreSQL on Amazon EC2の可能性
JAWSUG版 PostgreSQL on Amazon EC2の可能性
Serverworks Co.,Ltd.
50分で掴み取る ASP.NET Web API パターン&テクニック
50分で掴み取る ASP.NET Web API パターン&テクニック
miso- soup3
Klocwork C/C++解析チューニング 概要
Klocwork C/C++解析チューニング 概要
Masaru Horioka
CI/CDパイプラインを定着させる闘い @九州インフラ交流勉強会(Kixs) Vol.006
CI/CDパイプラインを定着させる闘い @九州インフラ交流勉強会(Kixs) Vol.006
Kazuhiro Uchimura
Weitere ähnliche Inhalte
Was ist angesagt?
Vagrant で PHP 開発環境を作る ハンズオン
Vagrant で PHP 開発環境を作る ハンズオン
Masashi Shinbara
Vagrant+Ansibleで検証環境を簡単構築
Vagrant+Ansibleで検証環境を簡単構築
Ken Sawada
Ansible/Vagrantでアドテク環境を最速構築
Ansible/Vagrantでアドテク環境を最速構築
kaboccha
composer-scriptsについて
composer-scriptsについて
Hiraku Nakano
Jenkins + awsで並列テスト
Jenkins + awsで並列テスト
Yamamoto Kazuhisa
Rails解説セミナー: Railsのアップグレード編
Rails解説セミナー: Railsのアップグレード編
Yohei Yasukawa
前略,Xamarin.Mac使いより
前略,Xamarin.Mac使いより
Tsubasa Hirano
[jjug] Java と Benchmark
[jjug] Java と Benchmark
Tokuhiro Matsuno
Chef入門
Chef入門
Yasufumi Moritake
Rails解説セミナー: リリースノート解説編
Rails解説セミナー: リリースノート解説編
Yohei Yasukawa
最近のPerlバイナリマネージャー Perl 編
最近のPerlバイナリマネージャー Perl 編
Tokuhiro Matsuno
Ansible softlayer
Ansible softlayer
Hideaki Tokida
130412 kayac-cinnamon
130412 kayac-cinnamon
Yuki Shibazaki
ZabbixとVulsをDocker上で連携
ZabbixとVulsをDocker上で連携
太郎 高橋
【LT】 怖くない恐怖のScala.js
【LT】 怖くない恐怖のScala.js
Yuto Suzuki
仮想マシンを使った開発環境の簡単共有方法
仮想マシンを使った開発環境の簡単共有方法
Hideo Takahashi
進撃のSbt
進撃のSbt
Yuto Suzuki
AnsibleをWerckerでCIして テストが終わると 本番環境が出来てる話
AnsibleをWerckerでCIして テストが終わると 本番環境が出来てる話
Kazuho Murakami
JAWSUG版 PostgreSQL on Amazon EC2の可能性
JAWSUG版 PostgreSQL on Amazon EC2の可能性
Serverworks Co.,Ltd.
50分で掴み取る ASP.NET Web API パターン&テクニック
50分で掴み取る ASP.NET Web API パターン&テクニック
miso- soup3
Was ist angesagt?
(20)
Vagrant で PHP 開発環境を作る ハンズオン
Vagrant で PHP 開発環境を作る ハンズオン
Vagrant+Ansibleで検証環境を簡単構築
Vagrant+Ansibleで検証環境を簡単構築
Ansible/Vagrantでアドテク環境を最速構築
Ansible/Vagrantでアドテク環境を最速構築
composer-scriptsについて
composer-scriptsについて
Jenkins + awsで並列テスト
Jenkins + awsで並列テスト
Rails解説セミナー: Railsのアップグレード編
Rails解説セミナー: Railsのアップグレード編
前略,Xamarin.Mac使いより
前略,Xamarin.Mac使いより
[jjug] Java と Benchmark
[jjug] Java と Benchmark
Chef入門
Chef入門
Rails解説セミナー: リリースノート解説編
Rails解説セミナー: リリースノート解説編
最近のPerlバイナリマネージャー Perl 編
最近のPerlバイナリマネージャー Perl 編
Ansible softlayer
Ansible softlayer
130412 kayac-cinnamon
130412 kayac-cinnamon
ZabbixとVulsをDocker上で連携
ZabbixとVulsをDocker上で連携
【LT】 怖くない恐怖のScala.js
【LT】 怖くない恐怖のScala.js
仮想マシンを使った開発環境の簡単共有方法
仮想マシンを使った開発環境の簡単共有方法
進撃のSbt
進撃のSbt
AnsibleをWerckerでCIして テストが終わると 本番環境が出来てる話
AnsibleをWerckerでCIして テストが終わると 本番環境が出来てる話
JAWSUG版 PostgreSQL on Amazon EC2の可能性
JAWSUG版 PostgreSQL on Amazon EC2の可能性
50分で掴み取る ASP.NET Web API パターン&テクニック
50分で掴み取る ASP.NET Web API パターン&テクニック
Ähnlich wie Security Advisories Checker on Travis/Circle CI
Klocwork C/C++解析チューニング 概要
Klocwork C/C++解析チューニング 概要
Masaru Horioka
CI/CDパイプラインを定着させる闘い @九州インフラ交流勉強会(Kixs) Vol.006
CI/CDパイプラインを定着させる闘い @九州インフラ交流勉強会(Kixs) Vol.006
Kazuhiro Uchimura
GitHubのリポジトリ(32個)を 覗いてみよう。 ただし、READMEだけね
GitHubのリポジトリ(32個)を 覗いてみよう。 ただし、READMEだけね
Naoto TAKAHASHI
Klocwork カスタムチェッカー紹介
Klocwork カスタムチェッカー紹介
Masaru Horioka
Firefoxの開発プロセス
Firefoxの開発プロセス
Makoto Kato
継続的インテグレーション3分クッキング
継続的インテグレーション3分クッキング
Takayuki Kondou
このべん第二回 ~「できない子ほどかわいくしたい!ConoHa補完計画」勉強会
このべん第二回 ~「できない子ほどかわいくしたい!ConoHa補完計画」勉強会
ConoHa, GMO INTERNET
VAddy - CI勉強会 fukuoka
VAddy - CI勉強会 fukuoka
ichikaway
Android 開発, 運用時に使いたいライブラリやサービスの紹介
Android 開発, 運用時に使いたいライブラリやサービスの紹介
健一 辰濱
Composer
Composer
Shogo Kawahara
Fighting advanced malware using machine learning (Japanese)
Fighting advanced malware using machine learning (Japanese)
FFRI, Inc.
OSSで作るOpenStack監視システム
OSSで作るOpenStack監視システム
satsuki fukazu
The Amazing Toolman - Mastering the tools and propose a hackable "Swiss Army ...
The Amazing Toolman - Mastering the tools and propose a hackable "Swiss Army ...
SYUE-SIANG SU
高速な暗号実装のためにしてきたこと
高速な暗号実装のためにしてきたこと
MITSUNARI Shigeo
Openness, Innovation and Opptunity
Openness, Innovation and Opptunity
Makoto Kato
A2 SORACOM API使いこなしレシピ集 | SORACOM Technology Camp 2020
A2 SORACOM API使いこなしレシピ集 | SORACOM Technology Camp 2020
SORACOM,INC
静的解析Klocwork とJenkins CIの連携
静的解析Klocwork とJenkins CIの連携
Masaru Horioka
ビルドサーバで使うDocker
ビルドサーバで使うDocker
Masashi Shinbara
Pythonを使った簡易診断スクリプトの作り方
Pythonを使った簡易診断スクリプトの作り方
Yuichi Hattori
Getting Started With Ore-Ore Swift Standard Library +
Getting Started With Ore-Ore Swift Standard Library +
Tomohiro Kumagai
Ähnlich wie Security Advisories Checker on Travis/Circle CI
(20)
Klocwork C/C++解析チューニング 概要
Klocwork C/C++解析チューニング 概要
CI/CDパイプラインを定着させる闘い @九州インフラ交流勉強会(Kixs) Vol.006
CI/CDパイプラインを定着させる闘い @九州インフラ交流勉強会(Kixs) Vol.006
GitHubのリポジトリ(32個)を 覗いてみよう。 ただし、READMEだけね
GitHubのリポジトリ(32個)を 覗いてみよう。 ただし、READMEだけね
Klocwork カスタムチェッカー紹介
Klocwork カスタムチェッカー紹介
Firefoxの開発プロセス
Firefoxの開発プロセス
継続的インテグレーション3分クッキング
継続的インテグレーション3分クッキング
このべん第二回 ~「できない子ほどかわいくしたい!ConoHa補完計画」勉強会
このべん第二回 ~「できない子ほどかわいくしたい!ConoHa補完計画」勉強会
VAddy - CI勉強会 fukuoka
VAddy - CI勉強会 fukuoka
Android 開発, 運用時に使いたいライブラリやサービスの紹介
Android 開発, 運用時に使いたいライブラリやサービスの紹介
Composer
Composer
Fighting advanced malware using machine learning (Japanese)
Fighting advanced malware using machine learning (Japanese)
OSSで作るOpenStack監視システム
OSSで作るOpenStack監視システム
The Amazing Toolman - Mastering the tools and propose a hackable "Swiss Army ...
The Amazing Toolman - Mastering the tools and propose a hackable "Swiss Army ...
高速な暗号実装のためにしてきたこと
高速な暗号実装のためにしてきたこと
Openness, Innovation and Opptunity
Openness, Innovation and Opptunity
A2 SORACOM API使いこなしレシピ集 | SORACOM Technology Camp 2020
A2 SORACOM API使いこなしレシピ集 | SORACOM Technology Camp 2020
静的解析Klocwork とJenkins CIの連携
静的解析Klocwork とJenkins CIの連携
ビルドサーバで使うDocker
ビルドサーバで使うDocker
Pythonを使った簡易診断スクリプトの作り方
Pythonを使った簡易診断スクリプトの作り方
Getting Started With Ore-Ore Swift Standard Library +
Getting Started With Ore-Ore Swift Standard Library +
Mehr von Ryo Shibayama
倒れても進捗
倒れても進捗
Ryo Shibayama
CircleCI 導入への入門
CircleCI 導入への入門
Ryo Shibayama
エンジニア採用と PHP #phpconfuk_rej
エンジニア採用と PHP #phpconfuk_rej
Ryo Shibayama
Start OSS Contribution With What You Know / できることから始める OSS Contribution
Start OSS Contribution With What You Know / できることから始める OSS Contribution
Ryo Shibayama
チームから気軽に始めるピアボーナス
チームから気軽に始めるピアボーナス
Ryo Shibayama
ソフトウェアエンジニアとしてのワークアズライフ
ソフトウェアエンジニアとしてのワークアズライフ
Ryo Shibayama
Try to use chromeless on AWS Lambda
Try to use chromeless on AWS Lambda
Ryo Shibayama
CircleCI 2.0 でビルド時間を大幅に短縮する
CircleCI 2.0 でビルド時間を大幅に短縮する
Ryo Shibayama
OSS Contribution through CircleCI 2.0
OSS Contribution through CircleCI 2.0
Ryo Shibayama
PHP-MLを使用して気軽に機械学習にトライしてみる
PHP-MLを使用して気軽に機械学習にトライしてみる
Ryo Shibayama
Carbon と Chronos から見る OSS 運営
Carbon と Chronos から見る OSS 運営
Ryo Shibayama
ElasticBeanstalk で新規事業を爆速ローンチする
ElasticBeanstalk で新規事業を爆速ローンチする
Ryo Shibayama
Amazon inspector で自動セキュリティ診断
Amazon inspector で自動セキュリティ診断
Ryo Shibayama
WordPress on PHP7 on CentOS7 on Saraku-VPS
WordPress on PHP7 on CentOS7 on Saraku-VPS
Ryo Shibayama
第87回PHP勉強会 LT 知って得するかもしれないテキスト処理コマンドのお話
第87回PHP勉強会 LT 知って得するかもしれないテキスト処理コマンドのお話
Ryo Shibayama
Mehr von Ryo Shibayama
(15)
倒れても進捗
倒れても進捗
CircleCI 導入への入門
CircleCI 導入への入門
エンジニア採用と PHP #phpconfuk_rej
エンジニア採用と PHP #phpconfuk_rej
Start OSS Contribution With What You Know / できることから始める OSS Contribution
Start OSS Contribution With What You Know / できることから始める OSS Contribution
チームから気軽に始めるピアボーナス
チームから気軽に始めるピアボーナス
ソフトウェアエンジニアとしてのワークアズライフ
ソフトウェアエンジニアとしてのワークアズライフ
Try to use chromeless on AWS Lambda
Try to use chromeless on AWS Lambda
CircleCI 2.0 でビルド時間を大幅に短縮する
CircleCI 2.0 でビルド時間を大幅に短縮する
OSS Contribution through CircleCI 2.0
OSS Contribution through CircleCI 2.0
PHP-MLを使用して気軽に機械学習にトライしてみる
PHP-MLを使用して気軽に機械学習にトライしてみる
Carbon と Chronos から見る OSS 運営
Carbon と Chronos から見る OSS 運営
ElasticBeanstalk で新規事業を爆速ローンチする
ElasticBeanstalk で新規事業を爆速ローンチする
Amazon inspector で自動セキュリティ診断
Amazon inspector で自動セキュリティ診断
WordPress on PHP7 on CentOS7 on Saraku-VPS
WordPress on PHP7 on CentOS7 on Saraku-VPS
第87回PHP勉強会 LT 知って得するかもしれないテキスト処理コマンドのお話
第87回PHP勉強会 LT 知って得するかもしれないテキスト処理コマンドのお話
Security Advisories Checker on Travis/Circle CI
1.
Security Advisories Checker
on (Travis|Circle) CI PHP BLT#2 @serima
2.
@serima • PHP Developer
@ Zappallas • mag2 -> GREE -> Zappallas • http://serima.co/blog • Recent topics • WordPress on PHP 7, HTTP/2 • Setup Sakura-VPS with Ansible • 最近の興味 • 二酸化炭素濃度の計測(まだやってない!)
3.
SensioLabs Security Advisories
Checker • SensioLabs 社製のライブラリ脆弱性チェッカー
4.
SensioLabs • Symfony /
Twig / Silex などを開発しているフランスの 会社 • 最近だと、プロファイラツール blackfire.io をリリース した
5.
composer.lock で判定 • Online
Checker • ウェブ上で composer.lock をアップロード • CLI Checker • CLI Tool をダウンロードしてコマンドライン実行 • Web API • SensioLabs 上にエンドポイントが用意されている
6.
継続的脆弱性チェック • 各種インタフェースが提供されているので、CI に組み 込み、継続的脆弱性チェックが簡単に可能
7.
How to integrate •
composer require sensiolabs/security-checker • composer update • git add composer.json composer.lock • git commit -m ‘Integrate security-checker’
8.
TravisCI - .travis.yml language:
php php: - 5.6 before_script: - composer self-update - composer install - chmod -R 777 storage script: - vendor/bin/security-checker security:check - phpunit
9.
CircleCI - circle.yml machine: timezone: Asia/Tokyo php: version:
5.6.14 test: override: - vendor/bin/security-checker security:check - vendor/bin/phpunit
10.
Test • swiftmailer/swiftmailer は
5.2.1 未満のバージョンに脆 弱性がある • ためしに 5.0.0 を インストールするよう 指定してみる
11.
Test • ちゃんと fail
しました • 脆弱性の内容も表示されています
12.
Test • 最新版を入れるように設定して再度チャレンジ • ちゃんと
green になりました
13.
脆弱性データベース • このリポジトリに登録されているものが脆弱性データベー スとして使われている • https://github.com/FriendsOfPHP/security- advisories •
This database must not serve as the primary source of information for security issues, it is not authoritative for any referenced software, but it allows to centralize information for convenience and easy consumption.
14.
まとめ • ほぼコストゼロでライブラリの脆弱性チェックが可能 になるので、入れておいて損はないです • が、先程も言ったとおり完全に信頼してしまわないよ うに注意🃏 •
JVN など他のデータベースは別途チェックしましょう • https://github.com/serima/security-checker-on-lumen • サンプルを置いておきました
15.
おわり🍔
Jetzt herunterladen