为什么Suhosin不是PHP核心的一部分?

时间:2009-02-20 07:36:33

标签: php security suhosin

似乎Suhosin修补并扩展了PHP核心,以保护用户免受核心缺陷的影响。似乎有些聪明人正在使用这个系统。因为它似乎是一件好事,所以我很好奇为什么它不是PHP核心的一部分。有人知道吗?

更新:显然,Linux的一些发行版默认情况下也会将PHP与Suhosin打包在一起。这似乎适用于Debian(至少Lenny)和Arch Linux。任何其他发行版默认包装PHP与Suhosin?

3 个答案:

答案 0 :(得分:16)

Suhosin背后的主要人物之一是Stefan Esser。在过去的几年里,Stefan似乎与PHP核心开发人员regard to security持续存在分歧。他也是month of PHP bugs背后的人之一,旨在提醒人们注意(在Stefan看来)PHP核心安全的悲惨状态。

鉴于Suhosin家伙决定走自己的路并在PHP项目之外工作,我可以想象:

  • Suhosin可能没有被包含在内。
  • Suhosin家伙无法让PHP团队相信它有用,或者没有尝试过。
  • 核心PHP团队不接受Suhosin背后的人的贡献。

某些Linux发行版(如Debian(Etch和Lenny),Ubuntu和Arch)在其PHP包中包含了Suhosin补丁,因此在这些系统上,您经常会发现它默认打开。 Red Hat派生的发行版(Red Hat Enterprise,CentOS,Fedora等)在他们的PHP包中不包含Suhosin。

注意:我与Core PHP开发人员或Suhosin没有任何关联,但根据所涉及的一些人物进行了合理的猜测。

答案 1 :(得分:1)

我猜想php团队不包括Suhosin的主要原因是:

  • 它可能会破坏现有(写得不好)的PHP代码
  • 它可能会破坏(写得很糟糕)的PHP扩展(我记得Zend Optimizer存在问题)

答案 2 :(得分:0)

我想知道他们将代码贡献回主要的php项目吗?

这通常是新代码如何集成到开源项目中的。