Oczekiwany miesiąc dziur w PHP związanych z bezpieczeństwem (MOPB) się rozpoczął publikacją informacji o 3 bugach… zasadniczo to przypomnieniem o ich istnieniu, bo są one znane od dawna.

Cały cykl prowadzony jest przez Stefana Essera - twórcy projektu Hardened-PHP (tudzież Suhosin) oraz grupy Security Response Team wewnątrz deweloperów PHP. Trochę historii o nim oraz o rozwoju podejścia do bezpieczeństwa w PHP znaleźć można w wywiadzie na stronie SecurityFocus. Również w wywiadzie jak i w jego blogu podane są przyczyny opuszczenia grupy “PHP Security Response Team”.

Relacje Essera odnośnie sposobu reakcji na znajdywane błędy w PHP są zarzutami nie do zbagatelizowania i dyskredytować mogą PHP jako produkcyjne rozwiązanie w poważniejszych zastosowaniach. Oczywiście należy zawsze rozróżnić dwie sytuacje - błędy w samym PHP oraz luki w aplikacjach go używających. Niemniej niezałatane od dawna luki (exploitowalne), niedopracowane patche, poprawki publikowane przez publiczny CVS, informacje o lukach “ginące z czasem” i inne (wymienione w wywiadzie) dają dosyć czarny obraz sytuacji w PHP…

Miesiąc bugów w PHP: http://www.php-security.org