トーク

概要

GMO Flatt Security で日々 Web アプリケーションの脆弱性診断に従事する私が、PHP アプリケーションを題材に「攻撃者が脆弱性を見つける瞬間」と「開発者ができる対策ポイント」を紹介します。古くからあるCTFなどでも使われるようなテクニックから、最新のテクニックまで、再現デモとその対策方法を持ち帰っていただきます。

対象者

• PHP などで開発中のエンジニア
• バグバウンティや脆弱性診断に興味をもつ学生・研究者

本セッションから持ち帰れるもの

• PHPで構築されたアプリケーションの特有の脆弱性とその対策方法について
• 実務で役立つチェックリスト

PHPカンファレンスには、今PHPを使っているひとも、今は使っていないけど、PHPが好きだから参加しているひともいると思います。

「PHPにずっと関わり続けている」「PHPを使っていたが、今は別の言語で開発をしている」「最近PHPで開発しはじめた」という方々へ、以下の内容をエンジニアのキャリアプラットフォームを運営している転職ドラフトならではの視点でお伝えしていきます。

・そもそもPHPは、キャリアにおいてモダン？スタンダード？レガシー？どのフェーズの言語なのか？
・転職ドラフトのデータから見えるPHPerのキャリアパスの傾向は？
・PHPを軸として、今後のキャリアを選択するうえでの考え方とは？

kubellでは日々100万人以上のユーザーが「Chatwork」にログインし、アプリケーションを利用しています。
このセッションでは、「Chatwork」の認証基盤をAuth0へ移行し、運用を行っている実際のプロセスを詳しく紹介します。
Auth0への移行方法とPHPでの実装における工夫について具体的に解説します。
また、ログデータを活用した異常検知やビジネス分析の手法についても触れ、データを活用したアプローチについても紹介します。

本トークでは、弁護士ドットコム株式会社でより良いプロダクトの開発を目指して、 情報設計というキーワードを中心に約 5 年ほど取り組んできたことについてご紹介します。

具体的には、Application-Level Profile Semantics(ALPS) というアプリケーションの操作や語彙を記述するテキストフォーマットを活用した、情報を中心としたチーム開発の事例やAI開発ツールの活用事例についてお話します。
また、組織・プロダクトを跨いだメンバーで取り組んでいる、社内ワークショップ活動を通じた啓蒙活動についてもお話します。

いまやPHPの根幹を成すComposer

意外と「なんとなく」使ってる方もいらっしゃるのではないでしょうか？
そんな方々に、「Composerの仕組みもバッチリ知ってるよ！」となって帰って頂ける内容をお話します。

1. なぜComposerを使うのか？
   ・「車輪の再発明」は絶対やめよう
   ・ 成熟したPHPコミュニティ、あなたが作ろうとしている機能、大体あるんです
   ・ 複雑な依存関係を理解しよう

2. Composerはどのような仕組みで動いているのか？
   ・ packagistとComposerの関係について
   ・ composer.jsonとcomposer.lockの役割について
   ・ autoloadの仕組み、説明できますか？
   ・ ライブラリのバージョン、理解してますか？

3. Composerは遅いのか？
   ・ プロジェクトにおいて、Composerを使わず、手動requireした方が速いのか？否。
   ・ 大規模プロジェクトでのComposerの最適化テクニック

4. どんなプログラムをパッケージとして頒布するべきか？
   ・ もう、プロジェクト間のコピペはやめよう

ブラックボックス的な印象の強いComposer、これを機に、仲良しになりましょう！