1. Inicio
  2. Pregunta y respuesta
  3. ¿Por qué Suhosin no forma parte del núcleo de PHP?

¿Por qué Suhosin no forma parte del núcleo de PHP?

2009-02-20 9 views
12

Parece que Suhosin aplica parches y extiende el núcleo PHP como un medio para proteger a los usuarios de fallas en el núcleo. También parece que algunas personas inteligentes están usando este sistema. Dado que parece ser algo bueno, tengo curiosidad de por qué no es parte del núcleo de PHP, para empezar. ¿Alguien sabe?¿Por qué Suhosin no forma parte del núcleo de PHP?

Actualización: Aparentemente algunas distribuciones de Linux también empaquetan PHP con Suhosin de manera predeterminada. Esto parece ser cierto para Debian (Lenny al menos) y Arch Linux. Cualquier otro paquete de distribuciones PHP con Suhosin por defecto?

Fuente

2009-02-20 fuentesjr

+0

Reconozco que esta es una publicación muy antigua, pero sigue siendo uno de los principales resultados cuando busca en Google contenido relacionado con RHEL/Suhosin. A partir de 2012, Arch Linux y Debian parecen haber abandonado Suhosin. Fuentes: https://pierre-schmitz.com/php-5-4-1-in-suhosin-out/ y http://news.php.net/php.internals/57610 – zeitgeist

Respuesta

16

Uno de los tipos principales detrás de Suhosin es Stefan Esser. Stefan parece haber estado en desacuerdo con los desarrolladores centrales de PHP con regard to security en los últimos años. También fue uno de los tipos detrás del month of PHP bugs que tenía la intención de llamar la atención sobre (en opinión de Stefan) el triste estado de la seguridad central de PHP.

Teniendo en cuenta que los chicos Suhosin han decidido seguir su propio camino y trabajar fuera del proyecto PHP, puedo imaginar que:

  • Es posible que Suhosin no se ha aportado la espalda para su inclusión.
  • Los chicos de Suhosin no han podido convencer al equipo PHP de su utilidad, o no lo han intentado.
  • El equipo principal de PHP no está abierto a las contribuciones de los tipos detrás de Suhosin.

Algunas distribuciones de Linux como Debian (Etch y Lenny), Ubuntu y Arch se compone el parche Suhosin en su paquete PHP, por lo que en estos sistemas a menudo encontrará que está activada de forma predeterminada. Las distribuciones derivadas de Red Hat (Red Hat Enterprise, CentOS, Fedora, etc.) no incluyen Suhosin en sus paquetes PHP.

Nota: No tengo ninguna asociación con desarrolladores Core PHP, o Suhosin, pero una conjetura razonable basada en algunas de las personalidades involucradas.

Fuente

2009-02-20 23:41:30

0

Me pregunto si han contribuido con su código de nuevo en el proyecto principal de php?

Por lo general, este es el nuevo código que se integra en los proyectos de código abierto.

Fuente

2009-02-20 09:29:11

1

Conjeturaría las principales razones para el equipo de php no incluir Suhosin son:

  • se puede romper el código existente (mal escrito) php
  • se puede romper (mal escrito) extensiones PHP (I recuerde que Zend Optimizer es problemático)

Fuente

2009-02-20 09:30:22 d0k

+0

El parche Suhosin es compatible con binarios la versión original de PHP, por lo que los chicos de Suhosin afirman que es totalmente compatible con todas las extensiones (incluido Zend Optimizer). En teoría, no debería romper nada que no tenga problemas de seguridad. –

+1

@Jim - Esto es PHP de lo que estamos hablando. Estoy seguro de que hay un montón de códigos defectuosos con serios problemas de seguridad. –

Cuestiones relacionadas

 Cuestiones relacionadas