Pagina 1 di 4
Maurizio Fonte - Consulente Informatico - Ingegnere del Software e Cyber Security Specialist Freelance
La sicurezza come fase finale prima del rilascio è un fallimento annunciato. Ho aiutato un'azienda software con 12 sviluppatori a integrare sicurezza nel ciclo di sviluppo: security gate automatici in CI, revisione delle dipendenze ad ogni PR, threat modeling trimestrale. La velocità di sviluppo non è calata. Continua a leggere
Un agent LLM che può eseguire query al database, inviare email, chiamare API è una backdoor delegata. Un attaccante che controlla l'input controlla le azioni dell'agent. Ti mostro le classi di prompt injection più pericolose su agent systems, le strategie di difesa applicativa (input validation, output fencing, least privilege), e un esempio concreto di human-in-the-loop gate che ho implementato in un agent Laravel nella mia sandbox di audit. Continua a leggere
Ho iniziato a usare Claude per generare migration SQL complesse su schemi di database con 200 tabelle e vincoli FK intricati. Il risultato non è mai corretto al 100% senza supervisione - ma riduce il tempo di scrittura dell'80%. Vi mostro il workflow: contesto da fornire all'LLM, validazione sistematica e i casi dove l'AI sbaglia. Continua a leggere
API Platform genera in automatico endpoint REST completi, documentazione OpenAPI e client GraphQL da semplici annotazioni Doctrine. Ho usato questo approccio per costruire l'API di un SaaS gestionale in metà del tempo previsto. Ma ha anche i suoi limiti: vi racconto dove finisce la magia e inizia il lavoro custom. Continua a leggere
Doctrine è potente ma le sue trappole di performance sono subdole. Ho ottimizzato un'applicazione Symfony con 2 milioni di record: lazy loading che generava 8.000 query per pagina, identity map che saturava la memoria nei batch, eager loading mal configurato. Vi mostro le soluzioni sistematiche per ciascun problema. Continua a leggere
La documentazione tecnica invecchia nel secondo in cui viene scritta. Automatizzarla con LLM funziona ma solo se il processo è rigoroso: estrazione strutturata da annotation PHPDoc e Symfony, generazione markdown con template vincolanti, pubblicazione automatica su wiki con review obbligatoria. Ti mostro la pipeline che ho costruito nel mio laboratorio su una codebase Symfony di riferimento da 200.000 righe, con controllo di qualità via linter. Continua a leggere
Ho migrato tre applicazioni da Symfony 5 a Symfony 7 in produzione. Il percorso non è una singola migrazione: si passa per Symfony 6 gestendo ogni set di deprecation progressivamente. Vi racconto i breaking change che mi hanno sorpreso di più, le scorciatoie che non funzionano e il processo sistematico che uso. Continua a leggere
Symfony 7 ha un dominio business ricco ma l'ecosistema AI vive in Python. La soluzione production è un'architettura ibrida: Symfony gestisce dominio, auth e autorizzazione; un servizio Python (LangChain, LlamaIndex, custom) orchestra l'LLM. La comunicazione viaggia via Symfony Messenger su RabbitMQ, Python consuma. Ti mostro il pattern su un portale B2B: schema dei messaggi, error handling cross-stack, tracing distribuito, deployment con Docker Compose. Continua a leggere
La build Docker di un'applicazione Laravel richiedeva 8 minuti ogni volta. Con l'ottimizzazione del layer caching (dipendenze Composer separate dal codice applicativo), multi-stage build e l'immagine finale Alpine, siamo scesi a 90 secondi. Il CI è diventato abbastanza veloce da aspettare il feedback. Continua a leggere
Il file .env in produzione è spesso il punto debole più semplice di tutta la security posture. Ho documentato gli errori che trovo più spesso: .env committato su git, permessi errati, stesso .env per staging e produzione, secrets non ruotati da mesi. Vi mostro i pattern corretti per ogni fase del ciclo di vita. Continua a leggere
