タスクリスト.md

やりたいこと

まともなシステムを作れるようになる

まともとは何か？

まともとは？=品質が高いこと

概要

• なるべく作らず既存にあるリソースを利用する（その為にAWSやFirebaseといったサービスをチェックしておくこと
• 不具合を減らすためのテストコードや開発ルールを作る・遵守できる仕組みを作る
• 移植しやすくする為のアーキテクチャ・設計
• セキュリティを担保するための仕組みづくり
• 規模拡大の為のインフラ設計
  https://ja.wikipedia.org/wiki/RASIS http://www.happyengineering.org/HappyEngineering/Chapter12/section12.1.html

詳細

• 開発を進めるうえでの不具合減少：バグを楽に潰せる仕組みがある→テストコード / CIによる自動テスト
• スピード感ある開発ができる・バグが入り込みづらい：サービスに合ったフレームワークやライブラリ / アーキテクチャの選定
• 開発の自動化：AWSやFirebase等による運用・開発削減（運用不要・実装しなくてよくなる）
• 理解が容易になる：コード規約に則ったコーディング（自動チェック）
• 移植しやすい：MySQL→PostgreSQLへの移行、PHPバージョンアップ等への影響を最小限に抑えられる
• セキュリティの考慮：個人情報漏洩やサーバへの不正侵入の入口にならない
• 大規模システム設計：スケーラブルなシステムのシステム設計ができるようになる
  • https://github.com/donnemartin/system-design-primer/blob/master/README-ja.md

具体的に何を理解 / 実践すればいい？

• テストコード（PHPUnit）の書き方を学ぶ
• CI/CD環境の構築（AWS CodePipelineやTravisCI） / 運用
• コード規約に則ったコーディングが行えるように自動チェックを導入
• 移植しやすさ→クリーンアーキテクチャを実際にサンプルを作ってみる
• セキュリティ：脆弱性検査ツール
  • https://webrage.jp/techblog/security_tool/
  • https://www.atmarkit.co.jp/ait/articles/1801/17/news013.html
  • https://github.com/okdt/Top10/blob/master/2017/ja/0x11-t10.md
  • ポートスキャン（不要なポートを閉じる
• 大規模システム設計をAWSで実装してみる

興味あること

• 認可サーバの実装（OAuth2.0）
  • https://qiita.com/TakahikoKawasaki/items/e508a14ed960347cff11
• 2段階認証の実装
• linuxでのアカウント権限の運用どうする？
  • https://ja.stackoverflow.com/questions/49070/sudo%E3%81%AB%E3%81%AFroot%E3%81%AE%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%81%8C%E5%BF%85%E8%A6%81%E3%81%AA%E3%81%84%E3%81%AE%E3%81%A7%E6%84%8F%E5%91%B3%E3%81%8C%E3%81%AA%E3%81%84%E3%81%AE%E3%81%A7%E3%81%AF
  • https://linuxserver.jp/linux/sudo%E3%81%A7%E4%B8%80%E8%88%AC%E3%83%A6%E3%83%BC%E3%82%B6%E3%81%A7%E3%82%82root%E6%A8%A9%E9%99%90%E3%81%A7%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89%E3%82%92%E5%AE%9F%E8%A1%8C/
  • https://songmu.jp/riji/entry/2014-07-20-linux-account.html

コード規約に則ったコーディングが行えるように自動チェックを導入

環境

• Windows10 Home
• VisualStudioCode
• vscode extension：php-cs-fixer

DockerでPHPを動作させるが、docker内でphp-cs-fixerでコードを自動変換したいわけではなく
vscodeで保存したときにphp-cs-fixerで自動変換したい。

.pharファイルとは？

• 複数のファイルをまとめたもので、 外部からその中のファイルを透過的に実行することができる（Javaの.jarファイルのようなもの
• Phar を使用するには PHP 5.2.1 以降が必要
• https://www.weblio.jp/content/Phar

windows環境で使う為にやること

• Docker環境でPHPを実行する場合は、vscodeからPHPを利用することが出来ない為、別途windows環境にPHPを入れる必要がある
• php.exe（PHP7.3.10）とcomposerをwindowsにインストールする
• https://windows.php.net/download
• https://weblabo.oscasierra.net/php-composer-windows-install/
• composerでphp-cs-fixerをグローバルインストール

composer global require friendsofphp/php-cs-fixer

setting.json

{
    "explorer.confirmDelete": false,
    "php-cs-fixer.rules": "@PSR2",
    "php-cs-fixer.formatHtml": true,
    "php-cs-fixer.onsave": true,
    "php.validate.executablePath":"C:\\php\\php.exe",
    "php-cs-fixer.executablePathWindows": "C:\\Users\\kk\\AppData\\Roaming\\Composer\\vendor\\bin\\php-cs-fixer.bat"
}

• vscodeで下記エラー発生
• Cannot validate since no PHP executable is set. Use the setting 'php.validate.executablePath' to configure the PHP executable.
• setting.jsonで 'php.validate.executablePath'にphp.exeのフルパスを指定
• さらにエラー発生
• PHP CS Fixer：php general error
• Visual Studioコードを管理者として実行することで解決！
• junstyle/vscode-php-cs-fixer#2

セキュリティ検査：

セキュリティ診断ツール「OWASP ZAP」を利用してみる
https://www.shadan-kun.com/blog/vulnerability/2961/
https://kama3.jp/archives/214

情報セキュリティマネジメントとPDCAサイクル：
https://www.ipa.go.jp/security/manager/protect/pdca/admin.html

アクセス制御

• メンバーごとにアクセスのレベルを設定し、アクセスできる情報の範囲や操作権限などを詳細に制御する
• 個人情報や機密情報については、アクセスできる人数を最小限にして、厳密なアクセス制御を適用する

セキュリティ装置導入・設定

• ウイルス対策ソフトやファイアウォールなどのセキュリティ装置を導入
• 侵入検知システム、暗号化通信を導入する
• OSや各アプリケーションのセキュリティ設定
• セキュリティリスクを減らすために、必要なサービスだけを稼動させること

脆弱性対策

• サーバのソフトウェアの脆弱性があれば、最新の修正プログラムを適用する
• ↓情報源
  https://www.ipa.go.jp/security/vuln/index.html
  https://www.ipa.go.jp/security/announce/alert.html
  https://www.ipa.go.jp/security/announce/
  https://twitter.com/ICATalerts/