PHPプロジェクトのセキュリティに対する姿勢
久しぶりにPHPプロジェクトに貢献すべく、私が確認したセキュリティ上の問題をPHP Security Response Teamに送りました。
具体的な対応については準備が整ってからにしますが、まずは大まかな感想だけ書きます。
PHPのセキュリティは随分改善された、とお墨付きをScanの報告書「Open Source Software 2008」で貰っており、バッファオーバーフロー等の欠陥コード減っているのは事実です。Month of PHP Bug (MOPB)でセキュリティレスポンスチームのセキュリティ意識も改善されたと思っていました。
まだメールのやり取りをしている段階なので断定できませんが、セキュリティに対する意識の改善は十分では無いと言えるようです。
詳しい状況や事情、セキュリティの問題などは8月の終わりくらいには書けるかも知れません。