13

Suhosin は、コアの欠陥からユーザーを保護する手段として、PHP コアにパッチを適用して拡張しているようです。また、一部の賢い人がこのシステムを使用しているようです。これは良いことのように見えるので、そもそも PHP コアの一部ではない理由が知りたいです。誰か知ってる?

更新: Linux の一部のディストリビューションでは、デフォルトで PHP が Suhosin にパッケージ化されているようです。これは、Debian (少なくとも Lenny) と Arch Linux に当てはまるようです。デフォルトで Suhosin を含む PHP をパッケージ化する他のディストリビューションはありますか?

4

3 に答える 3

16

Suhosin の主要人物の 1 人は、Stefan Esser です。Stefan は、ここ数年、セキュリティに関してPHP コア開発者と意見の相違が続いていたようです。彼はまた、PHP コア セキュリティの悲しい状態 (Stefan の意見では) に注意を向けさせることを目的としたPHP バグの月の背後にいる人物の 1 人でもありました。

Suhosin の連中が独自の道を歩み、PHP プロジェクトの外で作業することを決定したことを考えると、次のように想像できます。

  • Suhosin がインクルージョンのために投稿されていない可能性があります。
  • Suhosin の連中は、PHP チームにその有用性を納得させることができていないか、試していません。
  • コア PHP チームは、Suhosin の背後にいる人たちからの貢献に対してオープンではありません。

Debian (Etch および Lenny)、Ubuntu、Arch などの一部の Linux ディストリビューションには、PHP パッケージに Suhosin パッチが含まれているため、これらのシステムではデフォルトで有効になっていることがよくあります。Red Hat 派生ディストリビューション (Red Hat Enterprise、CentOS、Fedora など) には、PHP パッケージに Suhosin が含まれていません。

注: 私は Core PHP 開発者や Suhosin とは何の関係もありませんが、関連するパーソナリティのいくつかに基づいた妥当な推測です。

于 2009-02-20T23:41:30.530 に答える
1

PHPチームがSuhosinを含まない主な理由は次のとおりです。

  • 既存の(ひどく書かれた)phpコードを壊す可能性があります
  • それは(ひどく書かれた)php拡張機能を壊すかもしれません(私はZendOptimizerが問題を抱えていたことを覚えています)
于 2009-02-20T09:30:22.993 に答える
0

彼らは彼らのコードをメインのphpプロジェクトに戻したのだろうか?

これは通常、新しいコードがオープンソースプロジェクトに統合される方法です。

于 2009-02-20T09:29:11.857 に答える