Event Sourcing con Laravel nel 2026: quando ha senso per una PMI e quando bastano alternative più semplici
Event Sourcing è uno dei pattern più potenti e più mal compresi del 2026. Per molti l'idea di "salvare ogni cambiamento come evento immutabile" sembra la soluzione naturale ai requisiti GDPR/NIS2. Ma su una PMI il costo architetturale è spesso sproporzionato. Quando vale la pena adottare Spatie laravel-event-sourcing v7 con CQRS, e quando un audit-chain leggero è la scelta tecnicamente più onesta. Continua a leggere
Ultima modifica:
Pest 3 ha portato mutation testing, dataset, arch presets e nested describe nel testing PHP. Per le PMI con API Laravel in produzione il problema non è più scrivere test, è scriverli in modo che individuino bug reali e girino in CI in tempi accettabili. Cosa testare, come strutturare la suite e come portarla in pipeline CI. 
Laravel Octane 2.x oggi supporta FrankenPHP, Swoole e RoadRunner: tre driver con trade-off molto diversi. Per le PMI il problema non è "quanti RPS guadagno", ma se la codebase è pronta a vivere in memoria. Singleton, static state e persistent connections sono problemi documentati. Guida operativa: quando Octane ha senso, quando no, e come auditare la codebase prima del cutover. 
CodeIgniter 3 è in maintenance-only, PHP 8.1 ha raggiunto EOL il 31 dicembre 2025 e il JetBrains State of PHP 2024 stima 61% Laravel vs 11% CodeIgniter. Per le PMI con applicativi CI3 in produzione il problema non è più "se" migrare ma "come" farlo senza fermare il business. Questo articolo confronta CI3, CI4 e Laravel 12 con un approccio operativo: strangler pattern, route bridge e cutover graduale. 
Il Sysdig 2024 Cloud-Native Security Report documenta che il 91% delle scansioni runtime fallisce e l'83% dei container in produzione gira come root. NIST SP 800-190 (Application Container Security Guide) e l'OWASP Docker Security Cheat Sheet (14 regole) definiscono il framework di hardening. Un Dockerfile multi-stage con utente non-root, --cap-drop=ALL, --read-only e scansione Trivy in CI/CD riduce la superficie d'attacco da decine di CVE a single digits. 
RFC 9457 (luglio 2023, IETF Standards Track) ha sostituito RFC 7807 come standard per i dettagli di errore nelle API HTTP, definendo il media type application/problem+json con cinque campi opzionali (type, title, status, detail, instance). Laravel 12 non lo implementa nativamente - il default è {"message": "Server Error"} - ma le renderable exceptions e withExceptions() in bootstrap/app.php permettono di conformarsi allo standard con codice minimale. 
Il middleware HTTP implementa il Chain of Responsibility pattern (GoF, 1994) e PSR-15 (PHP-FIG, 2018) lo ha standardizzato. Laravel 11 (PR #6188) ha eliminato Http/Kernel.php spostando la registrazione in bootstrap/app.php con API fluent. OWASP Security Headers Cheat Sheet documenta gli header che un middleware deve impostare per mitigare A05:2021 (Security Misconfiguration). Il terminable middleware esegue dopo l'invio della risposta - ideale per logging e analytics senza impatto sulla latenza. 
Il PR #6188 "Slim skeleton" di Taylor Otwell ha rimosso AuthorizesRequests e ValidatesRequests dal Controller base di Laravel 11. La motivazione: "$this->validate has not been documented in some time. $this->authorize can simply be Gate::authorize." Le Form Request (introdotte in Laravel 5.0, febbraio 2015) e il facade Gate sostituiscono i trait impliciti con composizione esplicita - il principio "favor composition over inheritance" del Gang of Four applicato al framework. 
Robert C. Martin definisce il Single Responsibility Principle come "un modulo deve essere responsabile verso un solo attore". Un controller Laravel che valida input, calcola totali, aggiorna stock, crea record e invia notifiche ha almeno cinque motivi per cambiare. Il Service Layer (Fowler, PoEAA) e l'Action pattern (Freek Van der Herten) estraggono la logica di business dal controller, e il Service Container di Laravel la rende iniettabile e testabile in isolamento. 
L'Health Routing di Laravel, introdotto in Laravel 11 (PR #47309), espone un endpoint /up che dispatcha l'evento DiagnosingHealth - i listener che lanciano eccezioni causano HTTP 500, altrimenti HTTP 200. È un check pass/fail per load balancer e Kubernetes probes. Per monitoring dettagliato con dashboard e notifiche, spatie/laravel-health (10M+ install) offre 16+ check integrati. AWS Builders' Library documenta il trade-off tra shallow e deep health check.