1. casa
  2. Domanda e risposta
  3. Perché Suhosin non è parte del core PHP?

Perché Suhosin non è parte del core PHP?

2009-02-20 12 views
12

Sembra patch Suhosin e estende il core PHP come mezzo per proteggere gli utenti da difetti nel nucleo. Sembra anche che alcune persone intelligenti stiano usando questo sistema. Dal momento che sembra essere una buona cosa, sono curioso di sapere perché non fa parte del core PHP per cominciare. Qualcuno lo sa?Perché Suhosin non è parte del core PHP?

Aggiornamento: Apparentemente alcune distribuzioni di Linux offrono anche PHP con Suhosin per impostazione predefinita. Questo sembra essere vero per Debian (almeno Lenny) e Arch Linux. Di default, qualsiasi altro pacchetto di distribuzioni PHP con Suhosin?

fonte

2009-02-20 fuentesjr

+0

Riconosco che questo è un post molto vecchio, ma è ancora uno dei migliori risultati in classifica quando esegui una ricerca su Google per contenuti correlati a RHEL/Suhosin. A partire dal 2012, Arch Linux e Debian sembrano aver scaricato Suhosin. Fonti: https://pierre-schmitz.com/php-5-4-1-in-suhosin-out/ e http://news.php.net/php.internals/57610 – zeitgeist

risposta

16

Uno dei principali protagonisti di Suhosin è Stefan Esser. Stefan sembra aver avuto un continuo disaccordo con gli sviluppatori core di PHP con lo regard to security negli ultimi anni. Era anche uno dei ragazzi dietro lo month of PHP bugs, che aveva lo scopo di attirare l'attenzione sul (a parere di Stefan) triste stato di sicurezza del core PHP.

Dato che i ragazzi Suhosin hanno deciso di percorrere una propria strada e di lavorare al di fuori del progetto PHP, posso immaginare che:

  • E 'possibile che Suhosin non è stato contribuito indietro per l'inclusione.
  • I ragazzi di Suhosin non sono stati in grado di convincere il team di PHP della sua utilità o di non averlo provato.
  • Il nucleo del team di PHP non è aperto ai contributi dei ragazzi dietro a Suhosin.

Alcune distribuzioni Linux come Debian (Etch e Lenny), Ubuntu e Arch includono la patch Suhosin nel loro pacchetto PHP, quindi su quei sistemi si trovano spesso è attivata per impostazione predefinita. Le distribuzioni derivate da Red Hat (Red Hat Enterprise, CentOS, Fedora, ecc.) Non includono Suhosin nei loro pacchetti PHP.

Nota: non ho alcuna associazione con gli sviluppatori Core PHP o Suhosin, ma un'ipotesi ragionevole basata su alcune delle personalità coinvolte.

fonte

2009-02-20 23:41:30

0

Mi chiedo se hanno contribuito con il loro codice al progetto principale di php?

Questo è in genere il modo in cui il nuovo codice viene integrato in progetti open source.

fonte

2009-02-20 09:29:11

1

direi i motivi principali per la squadra php non includere Suhosin sono:

  • potrebbe rompersi esistente codice (scritto male) php
  • potrebbe rompersi (scritti male) estensioni PHP (I ricorda che Zend Optimizer è problematico)

fonte

2009-02-20 09:30:22 d0k

+0

La patch Suhosin è compatibile con la versione originale di PHP, quindi i ragazzi di Suhosin rivendicano piena compatibilità con tutte le estensioni (incluso Zend Optimizer). In teoria, non dovrebbe rompere nulla che non abbia già problemi di sicurezza. –

+1

@Jim - Questo è PHP di cui stiamo parlando. Sono sicuro che ci sia un sacco di codice cattivo là fuori con gravi problemi di sicurezza. –

Problemi correlati

 Problemi correlati