为什么 Suhosin 不是 PHP 核心的一部分？

Question

Suhosin 似乎修补并扩展了 PHP 核心，作为保护用户免受核心缺陷影响的一种手段。 似乎也有一些聪明人正在使用这个系统。 既然它看起来是一件好事，我很好奇为什么它不是 PHP 核心的一部分。 有人知道吗？

更新： 显然，某些 Linux 发行版也默认将 PHP 与 Suhosin 一起打包。 对于 Debian（至少是 Lenny）和 Arch Linux 来说似乎是这样。 有其他发行版默认将 PHP 与 Suhosin 一起打包吗？

Answer 1

Suhosin 背后的主要人物之一是 Stefan Esser。 过去，Stefan 似乎与 PHP 核心开发人员在安全性方面存在持续分歧几年。 他也是 PHP 错误月背后的人之一，该活动旨在引起人们对（Stefan 认为）PHP 核心安全状况令人悲哀。

鉴于 Suhosin 的人决定走自己的路，在 PHP 项目之外工作，我可以想象：

• Suhosin 可能没有得到回馈以纳入其中。
• Suhosin 的人无法让 PHP 团队相信它的有用性，或者还没有尝试过。
• 核心 PHP 团队不接受 Suhosin 背后人员的贡献。

一些 Linux 发行版，例如 Debian（Etch 和 Lenny）、Ubuntu 和 Arch 在其 PHP 包中包含 Suhosin 补丁，因此在这些系统上，您经常会发现它默认处于打开状态。 Red Hat 派生发行版（Red Hat Enterprise、CentOS、Fedora 等）的 PHP 软件包中不包含 Suhosin。

注意：我与核心 PHP 开发人员或 Suhosin 没有任何关系，但根据一些涉及的人物做出了合理的猜测。

Answer 2

我猜想 php 团队不包括 Suhosin 的主要原因是：

• 它可能会破坏现有的（写得不好的）php 代码
• 它可能会破坏（写得不好的）php 扩展（我记得 Zend Optimizer 有问题）

Answer 3

我想知道他们是否将代码贡献回主 php 项目中？

这通常是新代码集成到开源项目中的方式。