SymfonyLive / SymfonyCon

Eröffnet hat die diesjährige SymfonyLive der Kopf des Frameworks, Fabien Potencier. In seinem Vortrag ging es um die Neuerungen von Symfony 4 im Zusammenspiel mit dem Composer-Plugin Symfony Flex – in einer Live-Demo wurde gezeigt, was es für Neuerungen bietet und wie man mit dem neuen System umgehen kann.

• Projekte basieren nicht mehr auf symfony/symfony und sind dadurch auf ein Minimum reduziert.
• Die Installation erfolgt über composer create-project symfony/skeleton, das nur flex, console, framework-bundle, yaml und lts enthält und für die Development-Umgebung zusätzlich dotenv. Dadurch enthält eine Flex-Installation 70 % weniger Dateien, 75 % weniger Abhängigkeiten und 80 % weniger Commands als die Standard Edition von Symfony.
• Für Symfony-Pakete können Aliases genutzt werden, z. B. require workflow statt require symfony/workflow.
• Das maker-bundle erlaubt die Erstellung von Standardbestandteilen über Commands, z. B. kann mittels make:controller BeispielController ein Controller erstellt werden.
• Durch autoconfigure und autowiring werden viele ehemals lästige Aufgaben vom System übernommen und beispielsweise Services automatisch erstellt.

Kurz zusammengefasst lautet die Lösung der Titel-Gleichung: Symfony + React = 😍

Kurze Vorstellung der React-Basics

• ES6-Syntax
• React sorgt dafür, dass Komponenten, deren States sich ändern, automatisch auf der Oberfläche aktualisieren

Mit Symfony

• Um React sinnvoll mit Symfony nutzen zu können, sollte eine API vorhanden sein (z.B. durch API Platform), um mit HTTP-Calls Inhalte an React zu übergeben
• zum Testen reicht auch das Symfony-Skeleton: Controller können dafür genutzt werden, um einfache Array-Inhalte als JSON-Response zurückzugeben, die wiederum in React genutzt werden können

Christopher hat anhand einer Beispielapplikation die Vielseitigkeit der Console-Komponente gezeigt.

• Console-Komponente symfony/console
• möchte man CLI-Anwendungen mit Dependencies erstellen, ist Symfony Flex wunderbar dafür geeignet
• Nützliche Tools: Collision Tool über nunomaduro/collision, PHPBench phpbench/phpbench

Applikationstypen

• Jobs (im Hintergrund, z.B. Queue Workers)
• Helper (Vordergrund, Interaktivität , z.B. Debugging)
• Tools (Kombination von Jobs und Helpern, z.B. Composer)

Wer nutzt den Command eigentlich?
Beispielapplikation: Billing Run (monatliche Ausführung, Rechnung für Subscriber) zeigt generelles Vorgehen mit execute, das mehrere Private-Methoden aufruft, das die aktiven Kunden holt, PDFs generiert etc.

• ganz ok, aber besser: Tests für den Command schreiben! ApplicationTester und CommandTester
• neben configure() und execute() gibt es noch die Lazy-Methoden initialize() und interact(), letzteres hängt sich vor die Command-Validierung und kann bei optionalen Parametern die Abhandlung übernehmen und sie dadurch required machen
• Console Events:
  • console.command vor der Command Execution
  • console.error kann während der Command Execution auftauchen
  • console.terminate sobald der Command abgelaufen ist
• Stopwatch nutzbar
• keine Business Logik im Command (weder in execute(), noch in den privaten Methoden)! Diese werden in einen Service Layer umgezogen
• Business Logik sollte vom Framework entkoppelt werden (z.B. Output nicht in der Business Logik), Prüfung mit deptrac sensiolabs-de/deptrac -> Logging und Nutzung von Callables ideal für Background Jobs
• Für Input und Output gibt es auch SymfonyStyle

Ab Symfony 4.1: Sections erlaubt Ersetzung von Blöcken ($section->overwrite(), $section->clear())

Zum Vortrag

Sicherheitslücken bringen teilweise massive Probleme und Riesen-Leaks (u.A. Sony, AdultFriendFinder etc.). Bastian rät zur Prävention durch einen kontinuierlichen Lern-Prozess

Was können Hacker alles machen?:

• Zugriff auf Datenbank: mongo example.com, offene Ports sind Angriffspunkte (nmap zum Scannen der offenen Ports auf einer Domain als Prüfung)
• SQL-Injection: escapen, Prepared Statements oder ORM wie Doctrine nutzen
• HTTP Request Injection: z.B. id=$_GET['id'] mit id=6&admin=true -> z.B. Guzzle nutzen
• Command Injection: escapen und validieren mit z.B. Regex
• anderes: Code Injection, XML Entity Injection
• generell: Statische Code-Analysen durchführen, z.B. mit PHP_CodeSniffer
• Ausnutzen von Bugs in Libraries: aktuell halten! oder Sensio Security Checker mit symfony.lock Datei, node Security Project
• Ausnutzen von Bugs in der Infrastruktur: z.B. Webserver, ImageMagick, Docker-Images -> Vuls für Prüfung der Infrastruktur, Traffic encrypten (z.B. Let’s Encrypt), SSLlabs.com, hstspreload.com
• Brute Force: z.B. auf SessionID (lang halten), Passwörter (lange und kryptische Passwörter, Ratelimits pro IP / Nutzeraccount), Logins loggen (Remote Logout und Notifications über Logins, 2FA)
• Cross Site Request Forgery: Bilder mit aggresivem SRC-Wert -> GET verbieten, POST-Formulare mit aggresivem Ziel -> CSRF-Tokens, Same Site Cookie
• XSS Injection: User-generated Content immer escapen oder Templating-Engines wie Twig nutzen, HTMLpurifier, Cookies als HTTPS-only markieren, Content Security Policy setzen (z.B. für JS, Bilder etc., Inline-Script-Tags verbieten)
• Phishing: Iframes (Einbindung der eigenen Seite in Iframes verbieten), rel=noopener

Zum Vortrag

Eröffnet hat die diesjährige SymfonyCon der Kopf des Frameworks, Fabien Potencier. In seinem Vortrag ging es um das bald erscheinende Symfony 4 mit seinem wichtigsten Bestandteil Symfony Flex – in einer Live-Demo wurde gezeigt, was es für Neuerungen bietet und wie man mit dem neuen System umgehen kann.

• Projekte basieren nicht mehr auf symfony/symfony und sind dadurch auf ein Minimum reduziert.
• Die Installation erfolgt über composer create-project symfony/skeleton, das nur flex, console, framework-bundle, yaml und lts enthält und für die Development-Umgebung zusätzlich dotenv. Dadurch enthält eine Flex-Installation 70 % weniger Dateien, 75 % weniger Abhängigkeiten und 80 % weniger Commands als die Standard Edition von Symfony.
• Für Symfony-Pakete können Aliases genutzt werden, z. B. require workflow statt require symfony/workflow.
• Das maker-bundle erlaubt die Erstellung von Standardbestandteilen über Commands, z. B. kann mittels make:controller BeispielController ein Controller erstellt werden.
• Durch autoconfigure und autowiring werden viele ehemals lästige Aufgaben vom System übernommen und beispielsweise Services automatisch erstellt.
• Die Datenbank-Konfiguration kann, anstatt mit einer Definition mehrzeiliger Datenbank-Parameter, in der Kurzform mysql://name:passwort@ip:port/database angegeben werden.
• Symfony 4 wird laut Fabien mittelfristig Silex vollständig ersetzen.

Julien Pauli ist Mitglied des SensioLabs Tech Teams und arbeitet am PHP 7-Code mit, wodurch die Vorteile von PHP 7 direkt in Symfony Einzug finden. In seinem sehr technischen Vortrag hat Julien die Verbesserungen von PHP 7 im Gegensatz zu PHP 5 vorgestellt und dargestellt, was man bei der Nutzung zu beachten hat.

• Migriert man frisch zu PHP 7, sollte man die Version 7.0 überspringen und direkt mit 7.1 oder 7.2 starten, da es seit dem Release der Version 7.0 sehr viele Verbesserungen gegeben hat.
• Zur Laufzeit sollte man Objekte statt Klassen nutzen, da diese sehr viel Speicher einnehmen.
• Große Klassen sollten zur Laufzeit nicht voll kompiliert werden, wenn man nur einen Teil davon benötigt.
• Eine kleine Optimierung kann bei PHP-Funktionen dadurch erreicht werden, dass man ihnen ein \ voranstellt, also beispielsweise \strlen($str) statt strlen($str), wodurch PHP angewiesen wird, direkt die PHP-Funktion zu nutzen, statt sie in den eigenen Namespace zu laden.
• In PHP 7 werden statische Arrays nur einmal kompiliert und danach aus dem OPCache genutzt.
• Referenz-Variablen werden erst dann im Speicher hinterlegt, wenn sie tatsächlich gebraucht werden.
• Die Hashtabellen von PHP 7 wurden vollständig neu geschrieben und bieten insbesondere bei packed arrays (Integer-Keys, die kontinuierlich größer werden) 5 % bis 10 % Einsparungen im Speicher – besonders bei sehr großen Arrays ist die Auswirkung deutlich spürbar.
• In PHP 7 nutzen Strings die Struktur von zend_string, dadurch ist deren Nutzung etwa zehnmal schneller als bei PHP 5. Nutzen sollte man mit PHP 7 die Schreibweise $a = "foo and $b and $c" anstatt $a = "foo and " . $b . " and " . $c.

Carlos ist Vice President of Technology bei XING und hat in seinem Vortrag vorgestellt, wie man von einer Hexagonalen zu einer Event Sourcing Architektur gelangt. Hierbei ist er von einem „Reifemodell“ ausgegangen, die bei sogenanntem Spaghetticode beginnt und ihren Zenit beim Event Sourcing findet.

1. Spaghetti-Code: wilder Code, wie er zu den Anfängen von PHP existiert hat
2. Nutzung eines Frameworks: app.php als einziger Einstiegspunkt, oft auf einem MVC-Modell aufbauend
3. Hexagonale Architektur: Trennung von Abhängigkeiten
4. Hexagonale Architektur + Domain Events: Hinzufügen von Domain Events
5. Stepping Stone (CQRS): Trennung von Befehlen und Abfragen
6. Event Sourcing + CQRS: Entity-Status wird nicht mehr aus der Datenbank gelesen, sondern aus dem Event Stream berechnet

Um von der zweiten Evolutionsstufe zu einer Hexagonalen Architektur zu gelagen, nimmt man beliebige Actions, die Business Logik enthalten, und lagert diese in Application Services aus und entfernt zudem jegliche Infrastruktur-Referenzen. Die Implementierung von Domain Events ist im Regelfall in wenigen Minuten erledigt und solche Events sollten anschließend immer dann gefeuert werden, wenn es einen guten Grund dazu gibt, z.B. sich eine Abteilung bestimmte Events wünscht. Listener fangen diese Events anschließend ab und sichern sie in Elastic Search, MySQL usw.

Sara hatte als PHP-Core-Entwicklerin viele Informationen über PHP 7 parat und worauf wir uns in Zukunft noch freuen dürfen. Interessant ist der Fakt, dass bereits über 50 % der Composer-Nutzer auf PHP 7 upgegraded haben – Tendenz steigend. Im direkten Vergleich ist nämlich PHP 7 mindestens doppelt so schnell wie PHP 5 (bezogen auf Request pro Sekunde) und PHP 7.2 noch einmal 10 % schneller als PHP 7.1 – ein Upgrade lohnt sich also auf jeden Fall. Zudem bringt PHP 7 diverse Neuerungen mit:

• Einführung von strikten Skalartypen mit declare(strict_types=1), womit z. B. in dem Aufruf print(sum(2, '3', 4.1)) die 3 nicht mehr akzeptiert wird und einen Fehler produziert, da es eigentlich ein String ist.
• Arrays werden intern deutlich effizienter behandelt.
• Einführung eines kryptographisch sicheren Zufallszahlengenerators (CSPRNG) und des Kryptographieverfahrens Argon2i, sowie der Kryptographie-Bibliothek Sodium.
• Neuer Vergleichoperator <=> und der Operator ?? für eine Null-Koaleszenz
• Stärkere Einbindung von HTTP/2

Für die Zukunft ist eine Einbindung von Perl-kompatiblen regulären Ausdrücken in der Version 2 (PCRE2) geplant, sowie (endlich) die Verschönerung der Heredoc-Syntax durch die Möglichkeit, das schließende Tag einzurücken. Auch kürzere Closures in den Formen fn($x) => $foo + $x und $x ~> $foo + $x oder als partielle Funktion &{$foo + $1} sind im Gespräch. Weiterhin gibt es Ideen zu neuen Funktionen wie function +($a, $b) = { return $a + $b; } und die Erweiterung von try-/catch-Blöcken um Wiederholungen in der Form try {...} retry 3 catch {...} catch ($e) {...}.

Ryan hat in seinem Speak, neben diverser Informationen zu JavaScript an sich, das Paket Webpack Encore vorgestellt – eine Möglichkeit, die oftmals komplizierte Einbindung von Webpack in eigene Applikationen zu vereinfachen. Für Symfony steht dafür symfony/webpack-encore zur Verfügung.

• JavaScript-Dateien werden in der Datei /web/build/app.js zusammengefasst
• CSS entsprechend in der Datei /web/build/app.css
• Bilder landen in /web/build/images/ und Schriften in /web/build/fonts/
• Globale Variablen sind nicht direkt möglich, daher benötigt man beispielsweise für jQuery import $ from 'jquery', nachdem man es mit yarn add jquery ins Projekt eingebunden hat.
• Möchte man SASS nutzen, muss dies ebenfalls durch yarn add sass-loader erst per Yarn ins System geladen werden.
• Durch .createSharedEntry('app', './assets/js/app.js') kann Webpack Encore mitgeteilt werden, dass alles, was in der app.js eingebunden ist, nicht mehrfach in anderen Dateien eingebunden werden soll (was der Normalfall ist, wenn man beispielsweise in mehreren Dateien jQuery importiert).
• Mit .enableVersioning() kann die Versionierung der erzeugten Dateien aktiviert werden. Durch die manifest.json kann dabei die Problematik der ständig neuen Versionen gebändigt werden, welche ansonsten nicht gefunden werden könnten.

Sarah hat zum Abschluss der Konferenz die wichtigsten Facts des letzten Jahres zusammenfassend dargestellt. Seit der letzten SymfonyCon in Berlin im Jahr 2016 wurden im Rahmen des Symfony-Projektes durch die Community 1727 Merges durchgeführt und 1232 Issues erfolgreich gelöst – durchaus beeindruckende Zahlen für einen Zeitraum von elf Monaten. Zudem wurde im September diesen Jahres die Marke von 1.000.000.000 Downloads des Symfony-Projektes geknackt.

Außerdem haben im letzten Jahr viele neue Funktionen Einzug in Symfony gefunden, insbesondere in Version 3.4, welche die selben Features wie das bald erscheinende Symfony 4.0 enthält – davon sollen an dieser Stelle nur einige Erwähnung finden.

• Das Autowiring erleichtert die Arbeit mit Services, welche durch diese Änderung zukünftig per default nicht mehr public sind – ist das doch gewünscht, müssen diese mittels public: true sichtbar gemacht werden. Der Konsolenbefehl debug:autowiring listet alle dadurch erzeugten Services auf.
• Diverse neue HTML5-Types (z. B. TelType) und Konsolenbefehle (z. B. debug:form) haben sich einen Platz im Symfony-Kern gesichert.
• Für Commands ist nun auch ein lazy loading möglich, um beispielsweise gewichtige Commands später nachzuladen und das System beim Starten nicht unnötig zu verlangsamen.
• Beim Thema Sicherheit kam der Support für Argon2i als Kryptographieverfahren hinzu und die Symfony Toolbar bietet für das Impersonating viele neue Informationen, u.a. die Anzeige des Benutzernamens des nachgeahmten Benutzers.

Zum Abschluss wurden in Kürze noch noch einige Neuerungen von Symfony 4 erwähnt, wobei wir an dieser Stelle für Details auf die Eingangs-Keynote verweisen möchten. Mit diesem Thema wurde dann auch der Kreis geschlossen, mit dem die diesjährige Konferenz begonnen hat: Symfony 4 kommt mit großen Schritten und auch wir freuen uns bereits darauf, damit zu arbeiten, da vieles sehr vielversprechend ist. Es bleibt spannend.

Der diesjährige Konferenztag in Berlin wurde von Gary Hockin eröffnet. Die Quintessenz seines humoristisch aufgezogenen Talks: Contributions sind wertvoll! Es sind „Free Code Reviews“ – quasi kostenlose Learnings. Sie öffnen einem Türen, die vorher verschlossen waren. Es ist lohnenswert, sich durch Contributions einen Namen in der Szene zu machen – man baut Kontakte auf, lernt selbst immer mehr dazu und wird irgendwann selber zum Experten. In seinem Fall hat es sogar soweit geführt, dass er irgendwann als Speaker auf eine Konferenz eingeladen worden ist und seitdem eine erfolgreiche Karriere führt. Sein Tipp: Einfach mal trauen, es lohnt sich in jedem Fall.

Insgesamt ein sehr informativer und gelungener Auftakt in den Konferenztag.

Alexander gab in seinem Vortrag einen guten Überblick über die Möglichkeiten, welche der ab Symfony Version 3.3 erneuerte Dependency Injection Container mit sich bringt.

• Mit Autowiring sind Controller jetzt automatisch als Service verfügbar
• _defaults ermöglicht es, Einstellungen für alle Services derselben Konfigurationsdatei vorzunehmen.
• Durch die Einführung von Named Parameters müssen nicht mehr alle Service Parameter spezifiziert werden.
• Mit Hilfe von Service Locators kann eine Teilmenge der verfügbaren Services als Container zur Verfügung gestellt werden.

Learning: Durch das Autowiring von eigenen Controllern müssen diese nicht mehr von der abstrakten Controller-Klasse ableiten.

Alexander Miertsch, seines Zeichens Gründer und CEO der prooph software GmbH, kam mit einem sehr interessanten Thema zur SymfonyLive: dem Event Sourcing. Das von ihm mitentwickelte Framework prooph ist kompatibel zu allen großen PHP-Frameworks wie Symfony, Zend und Laravel und auch mit diversen anderen Systemen nutzbar.

Beginnen sollte man immer mit einem Event Storming, bei dem man sich mit seinen Stakeholdern zusammensetzt und ein Brainstorming hinsichtlich der Domain Events und Ziele vollzieht und mögliche Szenarien betrachtet. Anschließend erstellt man Ablaufdiagramme aus den Domain Event-Systemen – dies können beispielsweise bei einem Bestellsystem die Domains OrderPlaced, OrderPayed und OrderShipped sein. Die Richtung der Benachrichtigungen werden durch Pfeile symbolisiert. OrderShipped wird erst ausgeführt, wenn es sowohl von OrderPlaced, als auch von OrderPayed eine Benachrichtigung erhalten hat.

Speichert man die States eines Objekts direkt beim Objekt selbst, kann es passieren, dass beim sequentiellen Abarbeiten der jeweiligen Funktion Fehler auftreten und die Buchungen nur teilweise ausgeführt werden, beispielsweise wenn die Datenbank für einen Moment streikt – hier kann Event Sourcing effektiv helfen, Fehler zu vermeiden. Die States werden nicht mehr in der Datenbank gespeichert, sondern in einem Event Stream, der kontinuierlich die Events chronologisch sichert. Der aktuelle Stand des Systems kann nun durch ein Left Folding jederzeit aus dem Event Stream berechnet werden. Auch können durch Betrachtung vergangener Event-Teilketten die Gründe für Problemfälle schnell rekonstruiert und dadurch gefunden werden. Zudem besteht die Möglichkeit für zeitbasierte Queries, beispielsweise wenn man herausfinden möchte, welche Nutzer ihren Benutzernamen innerhalb der ersten fünf Minuten nach ihrer Anmeldung geändert haben.

Für die Nutzung mit Symfony kann man auf das Bundle prooph/event-store-symfony-bundle zurückgreifen, das sowohl das Event-Sourcing-Modul, als auch den Event-Store enthält.

Sebastian konnte anhand von Code-Beispielen eindrucksvoll die Wichtigkeit von „lesbarem Code“ verdeutlichen. Tests sollten immer so sprechend geschrieben werden, dass auch Nicht-Entwickler verstehen können, was eigentlich genau getestet wird. Dabei bezog er sich sogar auf die „10 Sekunden Regel“: diese sagt, dass Code der nach erstmaligem Betrachten auch nach zehn Sekunden noch nicht verstanden wurde, zu komplex ist und neu geschrieben werden muss. Testgetriebene Entwicklung hilft dabei, die Probleme zu verstehen und nicht einfach nur ein Programm zu schreiben.

Sebastian hat gezeigt, wie man mit PHPUnit eigene Assertions implementiert, die schnell umgesetzt sind und eine allgemeinere Sprache sprechen.

Learning: Eigenen Test-Code zusammen mit Nicht-Entwicklern auf Verständlichkeit prüfen.

Philipp Krenn hat in seinem Talk die Funktionen von elasticsearch für die Volltextsuche vorgestellt. Die Volltextsuche geht dabei weg vom Schwarz/weiß-Suchen hin zu „Graustufen“, also einer deutlich filigraneren Betrachtungsweise. Das Vorgehen beim Speichern von Texten ist im Allgemeinen immer gleich, auch wenn die einzelnen Schritte beliebig aktiviert und deaktiviert werden können – dies soll an einem Beispiel verdeutlicht werden (These are not the droids you are looking for.):

• Die Formatierungen im Text werden entfernt (These are not the droids you are looking for.).
• Durch das Tokenizing werden Satzzeichen entfernt und die Worte des Textes in einzelne Tokens getrennt (These are not the droids you are looking for).
• Anschließend werden alle Großbuchstaben zu Kleinbuchstaben umgewandelt (these are not the droids you are looking for).
• Im nächsten Schritt werden sogenannte stop words entfernt, also Wörter, die sehr häufig in der jeweiligen Sprache vorkommen und für die Aussagekraft des Textes wenig bringen (droids you looking). Hier sollte erwähnt werden, dass die Entfernung von stop words nicht immer sinnvoll ist, beispielsweise würde bei „to be or not to be“ nichts mehr übrig bleiben.
• Im letzten Schritt werden noch die übrig gebliebenen Wörter normalisiert, indem sie auf ihren Wortstamm reduziert werden (droid you look).

Als weitere Optionen steht die Festlegung von Synonymen, mit slop die Angabe der Anzahl erlaubter Wörter zwischen den Tokens und mit fuzziness die Angabe einer Art Hemming-Distanz zur Verfügung, also einer Zahl, die angibt, um wie viele Buchstaben sich der Suchterm vom eigentlichen Wort unterscheiden darf.

Die Problematik der deutschen Sprache mit zusammengesetzten Wörtern kann durch das Plugin German Decompounder gelöst werden. Eine automatische Spracherkennung bietet das Plugin Detecting Languages. Speziell für Symfony existiert das Bundle ONGR Elasticsearch.

Auch zum Abschluss gab es einen humoristischen Talk, dieses Mal vom Test-Evangelisten Chris Hartjes, auch bekannt als der „grumpy programmer.“ Kernaussagen seines Talks waren 5 „Lessons learned“:

1. Eine einzelne motivierte Person alleine reicht nicht aus.
2. Wenn ein Projekt Tests hat, hat zumindest irgendwann einmal jemand Interesse daran gehabt, dass der Code funktioniert.
3. Menschen haben Probleme, mit dem Testen anzufangen, wenn Ihnen niemand dabei hilft.
4. Alle Probleme wurden bereits in den 70er Jahren gelöst – dies ist eine Anspielung auf das Buch Software Testing Techniques von Boris Beizer.
5. Das Problem sind die Menschen an sich. Es ist egal, welches Framework man nutzt. Wichtig ist es, Probleme zu lösen. Die beste Waffe gegen Toxizität ist Empathie.

Auch er erwähnte einmal mehr, dass inzwischen diverse Studien beweisen, dass trotz 30 % höherem Programmieraufwand, durch die Anwendung von Tests 40 % – 50 % weniger Bugs in Softwareprojekten auftauchen und dadurch langfristig viel Zeit und vorallem Geld eingespart werden kann.

Mal wieder ein sehr sympathischer Abschluss der SymfonyLive. Wir freuen uns auf die SymfonyCon Mitte November in Cluj, Rumänien und im kommenden Jahr auf die SymfonyLive im Phantasialand und werden selbstverständlich wieder mit dabei sein.

Eröffnet wurde der Konferenztag von Carola Lilienthal, Geschäftsführerin der WorkPlace Solutions GmbH und Softwarearchitektin aus Leidenschaft.

In ihrer Keynote hat sie anhand ihrer langjährigen Erfahrungen erläutert, wie man technische Schulden minimieren kann. Wichtige Punkte sind unter anderem:

• „Jahresringe“ nicht zum Prinzip machen und Schulden rechtzeitig in den Griff bekommen, d.h. Fehler und Probleme nicht unter einer neuen, moderneren Schale verstecken, sondern sie im Kern angehen und beheben!
• Langlebigkeit durch:
  1. Wartbarkeit, d.h. schnelle Fehleranalyse, schnelle Anpassungen, Handlungssicherheit, Flexibilität, durchführbar beispielsweise durch die Aufbrechung der Software in Microservices
  2. Flexibilität durch Varianten von Geschäftsprozessen, Serviceorientierung, Skalierbarkeit → Baukastenprinzip (70% der Zeit wird dafür verwendet, den bisherigen Code zu verstehen, 20% zur Lösungsfindung und nur 10% für die tatsächliche Implementierung)
• Code soll einfach sein! Man programmiert nicht für den Compiler oder die Laufzeitumgebung, sondern für den nächsten Entwickler, der den Code lesen und verstehen muss.
• Kognitive Maßnahmen können ebenfalls helfen:
  1. Chunking (Abstraktion): Zusammenfassen von Informationen zu größeren Einheiten, sprich Modularität (Single Responsibility Principle)
  2. Hierarchien sind besser und einfacher als Netze.
  3. Aufbau von Schemata: Musterkonsistenz hilft dem Verständnis
• Nicht nur die technische Struktur optimieren, sondern auch die fachliche. Oft ist es auch sinnvoll, die ersten Überlegungen in die fachliche Struktur zu stecken.

Insgesamt ein sehr informativer und gelungener Auftakt in den Konferenztag.

Heute sind viele Unternehmen Ziel von Angriffen aus dem Internet – die häufigsten Angriffe basieren hierbei allen voran auf Cross-Site-Scripting (z.B. Key-Stroke-Listener) und Content Spoofing (z.B. Fake-Loginboxen), aber auch Injections, Cross-Site-Request-Forgery, Verlust sensitiver Daten und Brute Force sind Begrifflichkeiten, mit denen man sich unbedingt auseinandersetzen sollte. Hierbei muss für jedes Unternehmen initial das individuelle Threat Model überlegt werden – kleinere Unternehmen werden anders angegriffen als große.

Symfony bringt bereits viele Funktionen mit, die man einfach nutzen kann:

• Output-Escaping mit Twig: HTML-Code wird per default escaped, aber auch für JavaScript möglich z.B. mit {% autoescape 'js' %} oder auch deaktivierbar mit {% autoescape false %}
• Content Security Policy Header gegen Client-Injections (Blogbeitrag im Aramido Blog vom 10.08.2016)
• Prepared statements gegen Injections
• Eingabedatenvalidierung mit Regex, z.B. @Assert\Regex
• CSRF-Tokens und Same Origin Policy gegen Cross Site Request Forgery
• Logging und Sperrungen von IPs gegen Brute Force

„Je mehr du es tust, desto mehr wirst du es lieben“ – mit diesen Worten hat der Abschlussvortrag von Jeffrey und Sebastian begonnen. In der folgenden Dreiviertelstunde haben die beiden auf eine begeisternde Art und Weise erläutert, warum man testen sollte und was für Vorteile man dadurch hat.

• Tests sind ein Kommunikationsmittel!
• Tests sorgen für funktionierenden Code und qualitativ bessere Software. Man schafft dadurch Vertrauen bei bestehenden Kunden und kann potentielle neue Kunden überzeugen.
• Test Driven Development dauert zwar länger, die Software wird dadurch aber besser, stabiler und wartbarer.
• Tests machen glücklich! Psychologische Komponente!
• Tests sind eine Investition in die Zukunft!
• Tests als ausführbare Spezifikation (Tests before Code), Dokumentation und Verifikation
• Die Hauptaufgabe eines Entwicklers ist nicht, so viel Code wie möglich zu schreiben, sondern Probleme zu erfassen und möglichst einfache Lösungen dafür zu bieten.

Abgerundet haben die beiden ihre Ausführungen durch die Vorstellung von Studien aus den letzten 15 Jahren – die Ergebnisse der Studien haben sich dabei direkt mit den vorherigen Punkten gedeckt: Je mehr Tests, desto besserer Code. Tests entwickeln kostet nur initial mehr Zeit, sorgt aber für stabileren Code und spart dadurch sogar langfristig eher Zeit. Iteratives Testen (also Coden, Testen, Coden, Testen) führt schneller zu verlässlichem Code. Langlebige und große Software profitiert immer und immer mehr von Tests je länger sie lebt, da durch die Testabdeckung gewährleistet ist, dass neue Funktionalitäten die bereits bestehende Codebasis nicht gefährden können, ohne dass es auffällt.

Als kleine, aber wichtige Randbemerkung hat Sebastian noch erwähnt, dass bereits die Urgesteine der Softwareentwicklung um 1950 zum Zeitpunkt der Mondlandung stark testgetrieben gearbeitet haben, weil sie es anlässlich der Kosten gar nicht anders kannten. Das allerdings wurde durch den Aufschwung der IT im privaten Bereich über die Jahrzehnte verlernt und Anfang der 90er als „Neuheit“ angepriesen. Wir sind mit der testgetriebenen Entwicklung somit wieder in die Fußstapfen unserer Großväter gestiegen und sollten es auch nie wieder vergessen.

Der Vortrag war ein fantastischer und sympathischer Abschluss des Konferenztages und wir freuen uns schon auf die nächste SymfonyLive im Oktober diesen Jahres in Berlin und die SymfonyCon in Rumänien, auf denen wir wieder am Start sein werden.

Fabien gab in seiner Keynote „Symfony in the cloud“ einen kurzen Rückblick zu den Anfängen des Symfony Code-Deployments und den anstehenden Neuerungen in Symfony Version 3.2.

• Workflow Komponente
• Relative Pfade mit Symfony 3.2 vollständig umgesetzt
• var/cache für Cache Dateien <> var/tmp für temporäre Dateien
• Unterstützung für Read-Only-Filesysteme erleichtert Deployment & Cloud-Hosting

Damien wies in seinem Vortrag auf die Problematik des weitverbreiteten Symfony Bundles hin. Vor allem die Tatsache, dass die Mehrzahl der User den Entwicklungsbranch dev-master setzt, stellt ein nicht unerhebliches Risiko dar. Für die meisten Funktionen des FOSUserBundles gibt es Standard Symfony Komponenten, die eine ähnliche Funktion bieten.

• Aktuell dev-master am meisten genutzt, da stable nicht mit Symfony 3 kompatibel
• Probleme:
  1. kein einfacher Wechsel von Nutzername + Passwort zu E-Mail + Passwort
  2. keine sonderlich aktive Entwicklung → stellt mögliche Sicherheitslücke dar
• Es gibt Cookbooks für Standard Symfony-Komponenten die das FOSUserBundle ersetzen können
• Datenbank-Collection ist case insensitive (dbcollection: _ci)

Seine Kriterien für die richtige Bundle-Auswahl sind:

• Anzahl der beteiligten Nutzer
• Abhängigkeiten und letzte Release
• Lizenz

Learning: richtige Auswahl der Bundle über packagist.org

Jeffrey gab Einblicke in die Herausforderungen und Lösungen für Open Source Unternehmen.

• Man kann die Welt nicht wirklich verbessern, aber man kann beispielsweise die Entwicklung von Drupal-Modulen vorantreiben.
• "So what‘s the problem? – The developers perspective."
• Wenn man seinen Code der Community zur Verfügung stellt, kann man von Verbesserungen anderer Teilnehmer profitieren. Nimmt man an bestehenden Projekten teil, kann man nicht nur das eigene Problem, sondern vielleicht auch das von anderen lösen

Learning: Ein Ziel von Open-Source-Verwendung: kein günstigeres, sondern ein besseres Produkt!

Tobias zeigt in seiner Präsentation „Knowing your state machines“ einen neuen Denkansatz zur Software-Strukturierung und -Entwicklung in Verbindung von endlichen Zustandsmaschinen. Mit anschaulichen Beispielen zeigte er auch die entsprechende Verwendung von Events und Security Voters.

• "State Machine" sind neuartige Denkweisen
• Die Komplexität wird vereinfacht und kann grafisch veranschaulicht werden
• Symfony 3.2 unterstützt State Machines über die neue Workflow-Komponente

Abschließend fanden noch Lightning-Talks statt und beim Social-Event mit dem Motto „hipsterize Berlin“ traf man sich in lockerer Atmosphäre.

Weitere Optimierungsmöglichkeiten für bestehende Symfony-Installation stellte Andrew Carter in „Soup up Symfony – Keep PHP Alive Between Requests“ dar. Vor allem durch das Aufspüren von Memory Leaks kann Arbeitsspeicher auf den Live-Systemen gespart werden. Mit PHP-PM kann zudem recht einfach eine Entwicklungsumgebung aufgesetzt werden.

• Symfony muss zwischen den Request aktiv gehalten werden
• PHP-PM: Verwandelt Symfony in einen Server und kann zur Entwicklung verwendet werden
• PHP Package Repository: phpfastcgi/speedfony-bundle
• Potentielle Memory Leaks: FingersCrossedHandlers oder NoMoreLeaksBundle
• Error Handling

Für einen modulareren Deployment-Prozess kann das CI-System Jenkins genutzt werden. Nicole Cordes stellte in „Jenkins deployment pipeline“ unterschiedliche Jenkins-Templates vor, die beim Ausspielen von einem Jenkins Jobs der Reihe nach aufgerufen werden können. Dadurch können einzelne Jobs für viele Deployment-Prozesse verwendet und die Redundanz somit reduziert werden. Weiterhin stellte sie einige nützliche Jenkins Plug-Ins vor.

Folgende Job-Pools werden empfohlen:

• build: composer, node.js, asset management
• test: phpunit, phplint, junit, behat, codeception
• deploy: rsync, clear cache, warmup cache, database migration
• tool: sonarQube, phpDocumentor

Empfehlungen:

• Workspaces: build und test haben einen Workshop, deploy hat seinen eigenen
• Einzelne Templates für jeden einzelnen Schritt anlegen: z. B. template-build-composer-install, template-test-phpunit
• Pre-Build: Git checkout, tar und Artifakte archivieren, Build: untar und delete tar.gz
• Nützliche Plugins: SCM Sync Configuration Plugin, Role-based Authorization Strategy, Workspace Cleanup Plugin

10 Jahre Symfony

Stolz blickte Fabien Potencier zur Eröffnung der diesjährigen SymfonyLive in Berlin auf die Anfangszeiten des erfolgreichen PHP-Frameworks zurück. Sein erster Commit umfasst damals nur wenige Dateien, unterstützte jedoch bereits mit der enthaltenen Batch-Datei Microsofts Windows. Zehn Jahre geht die Entwicklung von Symfony mit den Versionen 2.8 und 3.0 konsequent vorwärts. Beide Versionen sind sich sehr ähnlich und unterscheiden sich nur in ihrer Abwärtskompatibilität.