2006年12月に「PHPのセキュリティを高めようといくら頑張っても無駄な努力だと悟った」と宣言してPHPセキュリティ・レスポンス・チームを離脱したPHP開発者のStefan Esser氏のことをご記憶だろうか。そのEsser氏が3月に「Month of PHP Bugs(PHPバグ月間)」という,PHPのバグを公表する活動を実施するという。
Esser氏は,PHPのセキュリティを強化する優れたパッチ「Suhosin」の開発者である(関連記事:PHPの「守護神」Suhosin)。そのEsser氏は2006年12月,自身のブログで「PHP開発陣はPHPのセキュリティ問題の責任をユーザーに転嫁することには熱心だが,誰かがPHPそのもののセキュリティを批判しようとすると,たちまち好ましからざる人物として目の敵にする。私がPHPのセキュリティ・ホールを公表したり,Suhosinの開発を進めたことで,何度彼らから不忠の裏切り者呼ばわりされたことか」と批判している。
Esser氏がPHPセキュリティ・レスポンス・チームを離脱したことに対して,PHPセキュリティの専門家であるZeev Suraski氏は,「私はStefanがセキュリティ・チームに戻ってくるよう頼むつもりだ。彼に対抗するのではなく,一緒に(セキュリティの)プロジェクトを進めたい。何百人もの人々が貢献している他のプロジェクトと同じように,(PHPのプロジェクトでも)すべての人がすべてのことに同意できるはずはない。しかしだからといって,意見の合わない人が敵だというわけではないし,意見が合わないからといって離脱したり敵側に回るべきでもない」と語っている(彼のブログ)。Suraski氏はEsser氏が戻ってくることを望んでおり,Esser氏に対して敵意を持っていないように見える。
しかしEsser氏がチームに戻ることはなかった。それどころか,Esser氏は2月の初めに,「Month of PHP Bugs(PHPバグ月間)」を開始することを明らかにしたのである。Esser氏は2007年3月がPHPバグ月間になると語っている。他の「バグ月間」の傾向を考えると,Esser氏は3月の間は毎日PHPのバグを公表することだろう。詳しくはEsser氏のブログを読んでいただきたい。
PHPは幅広い分野で使われており,読者の皆さんの中でもPHPを使っている人は多いだろう。3月の間は,Esser氏のWebサイトに注目して,新しい非公開のPHPバグがないか,システムを保護するために何ができるのか,情報を入手することをお勧めする。PHPの最新バージョンである「5.2.1」と「4.4.5」は,2007年2月にリリースされたばかりだ。くれぐれも最新のバージョンを利用するようにしよう。
また,PHPのセキュリティを強化するパッチSuhosinのことが気になる読者も多いだろう。残念なことにまだ,Suhosin入りのコンパイルされたPHPパッケージは入手できないようだ。Suhosinを利用するためには,自分の手でコンパイルする必要がある。
