カーネル、Appleの次はPHP――研究者が「PHPバグ月間」始動

PHPセキュリティ対策チームを脱退した研究者が、PHPの脆弱性情報を毎日公開する「PHPバグ月間」プロジェクトを開始した。

[ITmedia]

　PHPセキュリティ対策チームを脱退した研究者が、PHPの脆弱性情報を毎日公開する「Month of PHP Bugs」（MoPB）プロジェクトを3月からスタートさせた。

　MOPBのサイトでは、PHPのセキュリティを強化することが同プロジェクトの目的だと紹介。月間を通じ、Zend Engine、PHPコア、PHPエクステンションの新旧の脆弱性情報を毎日開示していく予定だという。

　また、実証コードも併せて公開し、PHPセキュリティ対策チームが現在使っている脆弱性管理プロセスを変更する必要性も指摘していく方針。

　脆弱性情報開示プロジェクトとしてはこれまでに、OSの脆弱性を指摘するMoKBや、Mac OS X関連のMoABといったプロジェクトが実施されているが、今回のMOPBとは何の関係もないという。

　MOPBを立ち上げたセキュリティコンサルタントのステファン・エッサー氏は、かつてPHPセキュリティ対策チームに加わっていた人物。しかし昨年12月、PHPセキュリティブログで「PHPのセキュリティを内部から向上させる取り組みは不毛だ」と批判し、同チームを脱退していた。

　ただ、MOPBのサイトでは今回のプロジェクトについて、PHPやPHP Groupに対する攻撃や復讐、策謀ではないと釈明している。