Uno de los tipos principales detrás de Suhosin es Stefan Esser. Stefan parece haber estado en desacuerdo con los desarrolladores centrales de PHP con regard to security en los últimos años. También fue uno de los tipos detrás del month of PHP bugs que tenía la intención de llamar la atención sobre (en opinión de Stefan) el triste estado de la seguridad central de PHP.
Teniendo en cuenta que los chicos Suhosin han decidido seguir su propio camino y trabajar fuera del proyecto PHP, puedo imaginar que:
- Es posible que Suhosin no se ha aportado la espalda para su inclusión.
- Los chicos de Suhosin no han podido convencer al equipo PHP de su utilidad, o no lo han intentado.
- El equipo principal de PHP no está abierto a las contribuciones de los tipos detrás de Suhosin.
Algunas distribuciones de Linux como Debian (Etch y Lenny), Ubuntu y Arch se compone el parche Suhosin en su paquete PHP, por lo que en estos sistemas a menudo encontrará que está activada de forma predeterminada. Las distribuciones derivadas de Red Hat (Red Hat Enterprise, CentOS, Fedora, etc.) no incluyen Suhosin en sus paquetes PHP.
Nota: No tengo ninguna asociación con desarrolladores Core PHP, o Suhosin, pero una conjetura razonable basada en algunas de las personalidades involucradas.
Reconozco que esta es una publicación muy antigua, pero sigue siendo uno de los principales resultados cuando busca en Google contenido relacionado con RHEL/Suhosin. A partir de 2012, Arch Linux y Debian parecen haber abandonado Suhosin. Fuentes: https://pierre-schmitz.com/php-5-4-1-in-suhosin-out/ y http://news.php.net/php.internals/57610 – zeitgeist