Был в Siemens. Ушёл когда понял что можно делать очень большие проекты не доводя до такого. При этом сильно быстрее и без такого количества сотрудников и бюрократии...
Ссылку и время дайте хоть. Из интро видно, что проблемы у вас ну очень специфичные. Кровавые будни интегратора какого-то легаси-шлака, неизвестно как написанного да ещё и без исходников. На месте финтех-конторы, я бы вместо того, чтобы какие-то контракты заключать с производителем таких решений, слал бы этого производителя лесом и побыстрее.
Джентельменский набор классического PHP пятой версии… Zend Encoder.
Не завидую вам… Безопасность фиксится сейчас в версиях 7.3+, так что тут не 0-day жди, а набор сплоитов готовых. Пятую, если что, перестали поддерживать ещё в январе 2019. Так что сам факт что безопасник допустил использование в проде версии с известными CVE и сплоитами и не инициировал миграцию на современные версии вовремя — это ой.
Про Zend Encoder вообще жуть. Без исходников у себя разворачивать что-то — это ужас. Наверняка там проблемы посерьёзней чем старый PHP… Если такие решения на тему версий интерпретатора и бездумное использование Encoder, найдётся и сборка SQL конкатенацией строк и банальный XSS. Что поставщик "поддерживает" продукт — смешно просто. Он что, PHP 5 патчит?
Чтобы базу у вас за 5 минут не слили — выставите таймауты на запрос и закройте к базе доступ извне. Плюс лимитируйте память и время выполнения у интерпретатора PHP. Так убьёте большинство сценариев на тему слития базы.
Ругать PHP за "отсутсвие обратной совместимости" — это что-то. Код, написанный десяток лет назад и более, прекрасно запускается или сразу или с минимальными правками. Тут, скорее, надо ругать за слишком ярое присутствие этой самой обратной совместимости...
Ну а по факту очень странный пост от "Senior Cyber Security Consultant DevSecOps". Переменные окружения отменили? Секреты в Vault? Фреймворки и язык не надо обновлять? Базу наружу открывать — это пять. Дыры в самом PHP не так просто эксплуатировать. Чаще это банальный stored XSS или что-то в этом роде. Понятно что и не такое бывает, но при чём тут PHP?
Yii Auth тегнули 3.0.0. В релизных новостях ошибка была.
Ну, попробуйте. Может быть поможет (если упёрлись не в базу).
Или влиться в Yii 3 ;)
Написал в личку.
Тут только самим создавать их...
Был в Siemens. Ушёл когда понял что можно делать очень большие проекты не доводя до такого. При этом сильно быстрее и без такого количества сотрудников и бюрократии...
Ссылку и время дайте хоть. Из интро видно, что проблемы у вас ну очень специфичные. Кровавые будни интегратора какого-то легаси-шлака, неизвестно как написанного да ещё и без исходников. На месте финтех-конторы, я бы вместо того, чтобы какие-то контракты заключать с производителем таких решений, слал бы этого производителя лесом и побыстрее.
Не завидую вам… Безопасность фиксится сейчас в версиях 7.3+, так что тут не 0-day жди, а набор сплоитов готовых. Пятую, если что, перестали поддерживать ещё в январе 2019. Так что сам факт что безопасник допустил использование в проде версии с известными CVE и сплоитами и не инициировал миграцию на современные версии вовремя — это ой.
Про Zend Encoder вообще жуть. Без исходников у себя разворачивать что-то — это ужас. Наверняка там проблемы посерьёзней чем старый PHP… Если такие решения на тему версий интерпретатора и бездумное использование Encoder, найдётся и сборка SQL конкатенацией строк и банальный XSS. Что поставщик "поддерживает" продукт — смешно просто. Он что, PHP 5 патчит?
Чтобы базу у вас за 5 минут не слили — выставите таймауты на запрос и закройте к базе доступ извне. Плюс лимитируйте память и время выполнения у интерпретатора PHP. Так убьёте большинство сценариев на тему слития базы.
Ругать PHP за "отсутсвие обратной совместимости" — это что-то. Код, написанный десяток лет назад и более, прекрасно запускается или сразу или с минимальными правками. Тут, скорее, надо ругать за слишком ярое присутствие этой самой обратной совместимости...
Ну а по факту очень странный пост от "Senior Cyber Security Consultant DevSecOps". Переменные окружения отменили? Секреты в Vault? Фреймворки и язык не надо обновлять? Базу наружу открывать — это пять. Дыры в самом PHP не так просто эксплуатировать. Чаще это банальный stored XSS или что-то в этом роде. Понятно что и не такое бывает, но при чём тут PHP?
https://rmcreative.ru/blog/post/windows-terminal-i-para-raznykh-versiy-php-v-otdelnykh-vkladkakh
Передам куда следует :)
По факту это сокрытие проблемы с copy-paste. Выглядит более-менее, а в действительности всё может быть плохо.
Ну, технически ничего сделать не мешает. Будем ли делать к релизу или нет пока не знаю.
Да, сейчас фокус сместился на код, документацию в следующей итерации обновим. Для Cycle есть родная документация и мини-гайд в пакете интеграции: https://github.com/yiisoft/yii-cycle/blob/master/docs/ru/README.md
В Cycle миграции есть в пакете интеграции. Там можно через аннотации.
Для db есть https://github.com/yiisoft/yii-db-migration. Там подход как в Yii 2.
Вполне вероятно что будет и то и то. issue создайте, глянем.
Официальных под такие критерии нет.
Выкроек нет. Слоники лицензируются.
Тогда уже были серьёзные штуки вроде предшественника Yii, Prado. Кстати, жив до сих пор.
Не, именно на этот не будет. Но можете его задать на конфе, всё расскажут в деталях :)
Там, судя по всему, имеется ввиду подключение аля dll или so.
Если что, все репозитории Yii засчитываются в Hacktoberfest и мы готовы рассматривать pull request-ы.