Suhosin 似乎对 PHP 核心进行了修补和扩展,以保护用户免受核心缺陷的影响。似乎一些聪明人也在使用这个系统。由于它看起来是一件好事,我很好奇为什么它不是 PHP 核心的一部分。有人知道吗?
更新:显然一些 Linux 发行版默认也使用 Suhosin 打包 PHP。这对于 Debian(至少是 Lenny)和 Arch Linux 来说似乎是正确的。任何其他发行版默认使用 Suhosin 打包 PHP?
Suhosin 背后的主要人物之一是 Stefan Esser。在过去的几年里,Stefan 似乎一直与 PHP 核心开发人员在安全性方面存在分歧。他也是PHP 漏洞月背后的人之一,该漏洞旨在引起人们对(在 Stefan 看来)PHP 核心安全性的可悲状态的关注。
鉴于 Suhosin 人已经决定走自己的路并在 PHP 项目之外工作,我可以想象:
一些 Linux 发行版,如 Debian(Etch 和 Lenny)、Ubuntu 和 Arch,在其 PHP 包中包含 Suhosin 补丁,因此在这些系统上,您经常会发现它默认处于打开状态。Red Hat 派生发行版(Red Hat Enterprise、CentOS、Fedora 等)的 PHP 包中不包含 Suhosin。
注意:我与 Core PHP 开发人员或 Suhosin 没有任何关联,但基于所涉及的一些个性进行了合理的猜测。
我猜 php 团队不包括 Suhosin 的主要原因是:
我想知道他们是否将他们的代码贡献回了主 php 项目?
这通常是新代码集成到开源项目中的方式。