似乎Suhosin修补并扩展了PHP核心,以保护用户免受核心缺陷的影响。似乎有些聪明人正在使用这个系统。因为它似乎是一件好事,所以我很好奇为什么它不是PHP核心的一部分。有人知道吗?
更新:显然,Linux的一些发行版默认情况下也会将PHP与Suhosin打包在一起。这似乎适用于Debian(至少Lenny)和Arch Linux。任何其他发行版默认包装PHP与Suhosin?
答案 0 :(得分:16)
Suhosin背后的主要人物之一是Stefan Esser。在过去的几年里,Stefan似乎与PHP核心开发人员regard to security持续存在分歧。他也是month of PHP bugs背后的人之一,旨在提醒人们注意(在Stefan看来)PHP核心安全的悲惨状态。
鉴于Suhosin家伙决定走自己的路并在PHP项目之外工作,我可以想象:
某些Linux发行版(如Debian(Etch和Lenny),Ubuntu和Arch)在其PHP包中包含了Suhosin补丁,因此在这些系统上,您经常会发现它默认打开。 Red Hat派生的发行版(Red Hat Enterprise,CentOS,Fedora等)在他们的PHP包中不包含Suhosin。
注意:我与Core PHP开发人员或Suhosin没有任何关联,但根据所涉及的一些人物进行了合理的猜测。
答案 1 :(得分:1)
我猜想php团队不包括Suhosin的主要原因是:
答案 2 :(得分:0)
我想知道他们将代码贡献回主要的php项目吗?
这通常是新代码如何集成到开源项目中的。