yohgaki's blog

もう何年か前になりますがStefanさんがPHPプロジェクトへの貢献を始めたころ「整数オーバーフローの修正はセキュリティ脆弱性なのでそのことを明記すべき」と指摘した事がありました。信じがたいかもしれませんが「攻撃可能かどうか分からないし脆弱性でなく普通のバグ修正だ」と主張する開発者がいたためPHPのこの手のヒープオーバーフローセキュリティ修正は「fixed crash」とCVSログに書いてあるだけの場合が多く、NEWSファイルにも記載されない事が当たり前になっていました。

同じく何年も前になりますが、Stefanさんが「PHPのソースディストリビューションのMD5サムをphp.netサイトで公開すべき」と主張した際にも「なぜ?必要ないでしょう」と返す開発者もいました。（公式ミラー、非公式のコピーなどを全く考慮していない発言）幸いMD5サムは必要であると開発者コミュニティで合意が取れたので追加されることになりましたが...

私がregister_globals=offをデフォルトにしては?コード管理の為にリリースブランチを作っては?と提案した場合も合意に至るまでかなり長い議論が必要でした。

万事がこういった状態だったのでセキュリティに対する理解が足りない開発者に対してMOPBは必要だったと考えています。MOPBが行われたことによりPHPプロジェクトがよりセキュリティに対して敏感かつ想像力をもって対処できるようになると思っています。

それにしてもStefanさんの粘り強さは感嘆に値します。この何年間にもわたりセキュリティ意識のギャップが大きい開発者と議論し、正しい意見であるにも関わらずその意見を無視されてきたにも関わらず、諦めなかったことは全てのPHPユーザにとって非常に大きな利益です。

私とPHPのセキュリティについて話をされた事がある方は「PHPを安全に利用するには最新版PHP、それもPHP5系を利用しなければならない」と言っていた事を覚えているかと思います。私は実際に攻撃コードを考案するまでには至りませでしたがMOPBは非常に多くのコード実行脆弱性を明らかにしました。MOPBを日本のユーザにも読みやすいよう翻訳したことによりアップグレードの重要性、正しいセキュリティ対策の重要性を理解して頂けたと思います。改めてMOPBの和訳を快く許可して頂いたStefanさんに感謝します。

MOPBは終わりましたが http://www.php-security.org/ でのアドバイザリが終了した訳ではありません。これ以降のアドバイザリは私のブログでの翻訳は行いませんが、今後もこのサイトには注目は必要です。