Одним из главных парней, стоящих за Сухосином, является Стефан Эссер. Похоже, что Стефан на протяжении последних нескольких лет продолжал не соглашаться с разработчиками ядра PHP с в отношении безопасности . Он также был одним из тех, кто стоял за месяцем ошибок в PHP , которые должны были привлечь внимание к (по мнению Стефана) печальному состоянию безопасности ядра PHP.
Учитывая, что ребята из Suhosin решили пойти своим путем и работать за пределами PHP-проекта, я могу представить, что:
- Возможно, что Suhosin не был возвращен для включения.
- Ребята из Suhosin не смогли убедить команду PHP в ее полезности или не пытались.
- Основная команда PHP не открыта для участия ребят из Suhosin.
Некоторые дистрибутивы Linux, такие как Debian (Etch и Lenny), Ubuntu и Arch, включают патч Suhosin в свой пакет PHP, поэтому в этих системах вы часто найдете его включенным по умолчанию. Производные от Red Hat (Red Hat Enterprise, CentOS, Fedora и т. Д.) Не включают Suhosin в свои пакеты PHP.
Примечание. У меня нет связи с разработчиками Core PHP или Suhosin, но есть разумное предположение, основанное на некоторых личностях.