Разделы

Интернет Безопасность Веб-сервисы

Команду безопасности PHP покинул Стефан Эссер

Специалист по безопасности языка PHP, участник команды быстрого реагирования PHP Security Response Team, Стефан Эссер (Stefan Esser) покинул её из-за разногласий с коллегами.

В своем блоге он написал, что попытки сделать PHP надёжнее «изнутри», со стороны разработчиков, обречены на провал из-за сложившейся в команде атмосферы. Каждый критик надёжности PHP становится здесь персоной нон-грата, а тех, кто публикует информацию об  уязвимостях, называют предателями, как это бессчётное количество раз происходило с ним самим, утверждает Эссер. Многие предложения по  усилению безопасности, предложенные им, игнорировались лишь потому, что Эссер делал их якобы в нетактичной форме.

Эссер публиковал в открытых источниках заметки о ненадёжности продукта, невзирая на то, что зачастую уязвимости ещё не были устранены. Такое поведение не устраивало команду быстрого реагирования.

Зев Сураски (Zeev Suraski), технический директор Zend, разрабатывающей PHP, выразил сожаление по поводу ухода Эссера и высказал надежду на его возвращение. Он сказал, что Эссер не будет работать против проекта PHP, хотя предложенный им «месячник уязвимостей безопасности PHP» на 2007 год нанесёт вред проекту. «Эссер внёс много улучшений в PHP, — сказал Сураски, — однако группа всё же предпочла бы сначала устранять уязвимости, а затем публиковать информацию о них. Эссер же полагает, что публикация данных в день обнаружения заставит команду защиты работать быстрее».

Короткая ссылка