13

Suhosin 似乎对 PHP 核心进行了修补和扩展,以保护用户免受核心缺陷的影响。似乎一些聪明人也在使用这个系统。由于它看起来是一件好事,我很好奇为什么它不是 PHP 核心的一部分。有人知道吗?

更新:显然一些 Linux 发行版默认也使用 Suhosin 打包 PHP。这对于 Debian(至少是 Lenny)和 Arch Linux 来说似乎是正确的。任何其他发行版默认使用 Suhosin 打包 PHP?

4

3 回答 3

16

Suhosin 背后的主要人物之一是 Stefan Esser。在过去的几年里,Stefan 似乎一直与 PHP 核心开发人员在安全性方面存在分歧。他也是PHP 漏洞月背后的人之一,该漏洞旨在引起人们对(在 Stefan 看来)PHP 核心安全性的可悲状态的关注。

鉴于 Suhosin 人已经决定走自己的路并在 PHP 项目之外工作,我可以想象:

  • Suhosin 可能没有被回馈以供纳入。
  • Suhosin 人无法让 PHP 团队相信它的用处,或者没有尝试过。
  • 核心 PHP 团队不接受 Suhosin 背后的人的贡献。

一些 Linux 发行版,如 Debian(Etch 和 Lenny)、Ubuntu 和 Arch,在其 PHP 包中包含 Suhosin 补丁,因此在这些系统上,您经常会发现它默认处于打开状态。Red Hat 派生发行版(Red Hat Enterprise、CentOS、Fedora 等)的 PHP 包中不包含 Suhosin。

注意:我与 Core PHP 开发人员或 Suhosin 没有任何关联,但基于所涉及的一些个性进行了合理的猜测。

于 2009-02-20T23:41:30.530 回答
1

我猜 php 团队不包括 Suhosin 的主要原因是:

  • 它可能会破坏现有(写得不好)的 php 代码
  • 它可能会破坏(写得不好)php 扩展(我记得 Zend Optimizer 有问题)
于 2009-02-20T09:30:22.993 回答
0

我想知道他们是否将他们的代码贡献回了主 php 项目?

这通常是新代码集成到开源项目中的方式。

于 2009-02-20T09:29:11.857 回答