Кампания под наслов “Месец на PHP сигурността” завърши с резултат от 60 открити грешки в популярния език за програмиране и дузина препоръчителни статии за писане на безопасен код.
Month of PHP Security се проведе по инициатива на компанията SektionEins GmbH и лично на Стефан Езер – известен разработчик, който настоява за повишаване на сигурността на PHP интерпретатора.
Над половината от откритите грешки засягат непосредствено интерпретатора, а останалите фигурират в популярни PHP приложения. Предишната подобна акция, проведена през 2007 година, откри 40 проблема в сигурността на PHP.
Независимо от големия брой грешки, установени в новата кампания, сред тях няма такива с критичен характер, отбелязва Анди Гутманас, директор на компанията Zend, която следи за развитието на езика PHP. За да се проявят, всички открити уязвимости изискват възможност за изпълнение на PHP скрипт на локалната система, т.е. в PHP няма нерешени проблеми от типа “zero-day”.
Скоро се очаква да излезе версия PHP 5.3.3, в която ще бъдат отстранени повечето от откритите в рамките на кампанията грешки.
Според Гутманс, не може да се говори за ниско ниво на сигурността на езика PHP. Откритите грешки подчертават необходимостта от повишаване на самоконтрола на разработчиците и използване на сигурни практики за кодиране.
Специалисти от цял свят са написали 13 интересни статии, които разкриват същността на известни типове уязвимости и дават насоки за безопасно програмиране на PHP. Откритите грешки и експертните статии са достъпни на сайта php-security.org.