betterCode() PHP
Am bin ich auf der betterCode() PHP. Dort halte ich den Vortrag "Vertrauen ist gut, Resolver ist besser: Supply Chain Security mit Composer".
Jede moderne PHP-Anwendung steht auf einem Fundament aus Third-Party-Paketen, jedes mit eigenen Abhängigkeiten und eigenen Vertrauensannahmen. Supply Chain-Angriffe in benachbarten Ökosystemen haben deutlich gemacht: Was im vendor-Verzeichnis landet, ist genauso sicherheitsrelevant wie der selbst geschriebene Code.
Lange verließ sich das PHP-Ökosystem auf informelle Werkzeuge: Reports nach abgeschlossener Installation und einen cleveren Missbrauch der Conflict-Regeln, um bekannt verwundbare Versionen uninstallierbar zu machen. Aktuelle Composer-Versionen ersetzen beides durch etwas Stärkeres: Security Advisories werden jetzt direkt im Dependency Resolver durchgesetzt, und zwar über einen Mechanismus, der auch Malware-Flags und eigene Policy-Regeln aufnehmen kann.
In diesem Vortrag erfährst du, woher Advisory-Daten kommen, wie Blocking auf Resolver-Ebene und Filterlisten funktionieren, wo die neuen Defaults dich auf eine Weise treffen können, die ein passives Audit nie konnte. Und ich erkläre dir, was Anwendungsentwickler:innen wie Maintainer heute tun sollten.
Zum ersten Mal werde ich "Vertrauen ist gut, Resolver ist besser: Supply Chain Security mit Composer" am auf der betterCode() PHP präsentieren.
Sebastian Bergmann ist Autor und Maintainer von PHPUnit, dem Standard-Test-Framework für PHP, und beschäftigt sich seit über 26 Jahren mit der Frage, wie Open Source-Software vertrauenswürdig entsteht und verteilt wird.
Als Gründungspartner von thePHP.cc berät er Teams zu Softwarequalität, Entwicklungsprozessen und Supply Chain Security. Er ist Mitgründer und Vorstandsmitglied der PHP Foundation, die mit einem eigenen Security-Programm die Absicherung des PHP-Ökosystems vorantreibt, und engagiert sich im Arbeitskreis Open Source Software der Gesellschaft für Informatik.
Am bin ich auf der betterCode() PHP. Dort halte ich den Vortrag "Vertrauen ist gut, Resolver ist besser: Supply Chain Security mit Composer".