Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, объявил о завершении независимого аудита основной  кодовой базы проекта PHP. Работа выполнена французской компанией QuarksLab, которая  уже привлекалась для аудита проектов OpenVPN, VeraCrypt и OpenSSL. В ходе проверки выявлено 27 проблем, из которых 17 имеют отношение к безопасности, а 10 носят информационный характер...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63049

• Опубликованы результаты аудита безопасности кодовой базы PHP,Аноним, 23:02 , 10-Апр-25
  • Опубликованы результаты аудита безопасности кодовой базы PHP,чатжпт, 23:05 , 10-Апр-25
    • Опубликованы результаты аудита безопасности кодовой базы PHP,Аноним, 00:13 , 11-Апр-25
      • Опубликованы результаты аудита безопасности кодовой базы PHP,безразницы, 00:44 , 11-Апр-25
      • Опубликованы результаты аудита безопасности кодовой базы PHP,Аноним, 00:54 , 11-Апр-25
      • Опубликованы результаты аудита безопасности кодовой базы PHP,n00by, 09:58 , 11-Апр-25
        • Опубликованы результаты аудита безопасности кодовой базы PHP,Аноним, 12:50 , 11-Апр-25
          • Опубликованы результаты аудита безопасности кодовой базы PHP,n00by, 18:16 , 11-Апр-25
            • Опубликованы результаты аудита безопасности кодовой базы PHP,Аноним, 19:57 , 17-Апр-25
              • Опубликованы результаты аудита безопасности кодовой базы PHP,n00by, 10:22 , 23-Апр-25
  • Опубликованы результаты аудита безопасности кодовой базы PHP,Аноним, 23:35 , 10-Апр-25
  • Опубликованы результаты аудита безопасности кодовой базы PHP,User, 09:58 , 11-Апр-25
• Опубликованы результаты аудита безопасности кодовой базы PHP,Карлос Сношайтилис, 23:35 , 10-Апр-25
  • Опубликованы результаты аудита безопасности кодовой базы PHP,Жироватт, 07:56 , 11-Апр-25
• Опубликованы результаты аудита безопасности кодовой базы PHP,Аноним, 00:09 , 11-Апр-25
  • Опубликованы результаты аудита безопасности кодовой базы PHP,Аноним, 00:22 , 11-Апр-25
    • Опубликованы результаты аудита безопасности кодовой базы PHP,Аноним, 09:47 , 11-Апр-25
      • Опубликованы результаты аудита безопасности кодовой базы PHP,Анониматор, 11:55 , 11-Апр-25
      • Опубликованы результаты аудита безопасности кодовой базы PHP,Gemorroj, 22:19 , 11-Апр-25
      • Опубликованы результаты аудита безопасности кодовой базы PHP,Аноним, 00:29 , 12-Апр-25
  • Опубликованы результаты аудита безопасности кодовой базы PHP,Аноним, 00:56 , 11-Апр-25
    • Опубликованы результаты аудита безопасности кодовой базы PHP,Аноним, 00:31 , 12-Апр-25
  • Опубликованы результаты аудита безопасности кодовой базы PHP,Аноним, 00:58 , 11-Апр-25
    • Опубликованы результаты аудита безопасности кодовой базы PHP,Аноним, 14:41 , 11-Апр-25
  • Опубликованы результаты аудита безопасности кодовой базы PHP,YetAnotherOnanym, 10:20 , 11-Апр-25
    • Опубликованы результаты аудита безопасности кодовой базы PHP,Анониматор, 11:53 , 11-Апр-25
      • Опубликованы результаты аудита безопасности кодовой базы PHP,YetAnotherOnanym, 17:12 , 11-Апр-25
  • Опубликованы результаты аудита безопасности кодовой базы PHP,Ivan_83, 10:25 , 11-Апр-25
  • Опубликованы результаты аудита безопасности кодовой базы PHP,Аноним, 17:12 , 11-Апр-25
  • Опубликованы результаты аудита безопасности кодовой базы PHP,windows10, 02:13 , 12-Апр-25
    • Опубликованы результаты аудита безопасности кодовой базы PHP,Аноним, 14:51 , 12-Апр-25
      • Опубликованы результаты аудита безопасности кодовой базы PHP,windows10, 17:51 , 12-Апр-25
    • Опубликованы результаты аудита безопасности кодовой базы PHP,Рщъ, 11:02 , 13-Апр-25
• Опубликованы результаты аудита безопасности кодовой базы PHP,Google, 11:11 , 11-Апр-25
• Опубликованы результаты аудита безопасности кодовой базы PHP,Анониматор, 11:45 , 11-Апр-25
  • Опубликованы результаты аудита безопасности кодовой базы PHP,безразницы, 12:15 , 11-Апр-25
    • Опубликованы результаты аудита безопасности кодовой базы PHP,Анониматор, 12:48 , 11-Апр-25
  • Опубликованы результаты аудита безопасности кодовой базы PHP,Аноним, 15:20 , 11-Апр-25
  • Опубликованы результаты аудита безопасности кодовой базы PHP,Gemorroj, 22:20 , 11-Апр-25
    • Опубликованы результаты аудита безопасности кодовой базы PHP,windows10, 02:18 , 12-Апр-25
      • Опубликованы результаты аудита безопасности кодовой базы PHP,Аноним, 14:57 , 12-Апр-25
        • Опубликованы результаты аудита безопасности кодовой базы PHP,windows10, 18:40 , 12-Апр-25

На самом деле не так страшно, как я ожидал и как могло бы быть

ага, не так страшен пхп как программисты, которые на нем пишут

Пхп-программист - это как дхтмл-программист?
Бывают программисты на таких языках?
Это же дизайнеры сайтов, даже на бэкэнде.
Такими их раньше и считали, похоже что то изменилось с тех пор.

Это как эсэсай программист на максималках.

Нет блин, один ты Д'артаньян. Сколько можно эту повестку нести в массы? Программист это вообще нынче как медик или юрист, т.е. даже не профессия реально. Нынче девелоперы. При том что те кто знают английский, то понимают разницу между билдером, девелопером и инженером. Вот тот который образованный с тем самым высшим образованием как-раз таки инженер, а именно инженер-программист. И как по вашему вообще они должны были проверять язык программирования? Вот эти проверяющие от французской компании по вашему тоже не программисты? Они ведь тоже наверняка его знают. Вы знаете и я знаю PHP. Работа с этим не связана правда и что вы мне хотите этим сказать? Что вы неуч и оправдываете свое незнание? Или что умышленно занижаете самооценку тех кто на нем пишет? Главное по факту ничего не сказано, а обосраны все - дизайнеры ему не нравятся, html, т.е. веб-программисты, php программисты. Зачем людей то обижать? Причем соотечественников.

PHP -- Тьюринг-полный язык, то есть позволяет "запрограммировать всё", грубо говоря.

Для PHP есть PHPDoc и поддержка doxygen -- то есть возможно создавать документацию к коду.

Всё это ты мог найти в поисковике за пару минут и без меня. Не смог? Тогда правильный вопрос: что ты тут делаешь?

>PHP -- Тьюринг-полный язык, то есть позволяет "запрограммировать всё", грубо говоря.
>Для PHP есть PHPDoc и поддержка doxygen -- то есть возможно создавать документацию к коду.

Правильный вопрос: к чему этот поток сознания?

А для твоего любимого bash есть аналог doxygen?

А баш самодокументируемый. Ему докген и не нужны.

> А баш самодокументируемый. Ему докген и не нужны.

Скажу больше. Для любой (наверное) программы в 100 строк doxygen-ы не нужны.

А ты думал, что тебе расскажут про самые вкусные уязвимости? Такое лучше приберечь до времён когда объявят вознаграждение. Или просто приберечь.

Вообще да. Кодовая база не маленькая, достаточно старая при том - и не так, чтобы плохо. Понятно, что в разных фреймворках\библиотеках похапэ-на-похапэ там на сто лет запасено, но всё-ж!

PHP этот случай когда исправил большинство своих детских ошибок и стал как окружающие.
Но все помнят овцу.

Исправил ли?

PHP - языком из прошлого ещё кто-то пользуется?

Он уходит, как и Ruby.

> PHP - языком из прошлого ещё кто-то пользуется?

Конечно. Есть же гигатонны легаси, которые пыхеры успели выродить.
И никто их дропать не собрается, поэтому продолжат допиливать и допиливать.
А начинать новый проект на нем... ну это нужно имень очень веские причины.

PHP — не "язык прошлого", а язык специфических задач.

Для стартапов/лендингов/бложиков — ещё актуален (особенно с Laravel или WordPress).

Для высоконагруженных/сложных систем — чаще выбирают Go, Node.js, Python или даже Rust.

и еще помним про битрикс )))

> высоконагруженных/сложных
> Node.js, Python

яснопонятно. люди так и не узнали про swoole и живут в мире php 4

Расскажи это фонду Викимедиа

Я пользуюсь PHP. Использую LAMP-стек для хранения информации о пакетвх в своем дистрибутиве.

> Использую LAMP-стек для хранения информации о пакетвх

Даже не знаю, плакать или смеяться

Он уходит с вашего местечкового рынка? Поищи в поисковой системе это до сих пор самый популярный язык в вебе во всем мире с огромнейшей долей рынка и никуда от этого не деться в ближайшее время.

То, что большая часть этой доли это WordPress, тактично умолчим, иначе звучит как будто это скриптовый язык для CMS-ок

Вообще-то, усилиями Фейсбука и прочих, нынешний ПХП - это уже далеко не тот ПХП, который был десять лет назад. И - да, пишут и немало пишут.

какие 10, я начинал писать на пыхе когда условный блок if надо было заканчивать ключевым словом fi, даже в фидонете тогда про него никто не слышал.

О том, что пых значительно старше - я в курсе :)
Про "десять лет" я написал потому, что примерно рубеж нулевых-десятых и первая половина десятых - это то время, когда новости о дырах в пыхе шли нескончаемым потоком.

Да, отличный язык для своей области.
Я только в выходные в rutorrent заслал два PR, как раз на пыхе.
Да и свой SSDPd я не вижу смысла с пыха переписывать на что то.

Да-да, умирает, после каждого запроса умирает.

> PHP - языком из прошлого ещё кто-то пользуется?

Посмотри на скриншот, и ответь мне на несколько вопросов, друг:

https://ibb.co/WvyTL87K

1. Узнаешь ли ты ОС или хотя бы DE на этом скриншоте? Ну там по панели задач, по панели управления;
2. Узнаешь ли ты язык в Geany на заднем фоне?
3. Осознаешь ли, что целый модуль панели управления с ползунками и настройками для демона уведомлений (который тоже кстати написан на PHP) занимает всего 176 строк?
4. Понимаешь ли ты насколько ущербны монструозно-тормозящие гномы с кедами и разжиревшей крысой, по сравнению с нормальным DE которое работает как молния, занимая при этом 72 мб на диске и ~30 мб в ОЗУ?

А так да, язык из прошлого уходит.
[сообщение отредактировано модератором]

[сообщение отредактировано модератором]

>работает как молния, занимая при этом 72 мб на диске и ~30 гб в ОЗУ

Многовато в ОЗУ. Вы не ошиблись?

P.S. Выкладывать на публику скиншот с матерным словом? Это многое говорит...

> Многовато в ОЗУ. Вы не ошиблись?

Конечно же ошибся, что и ежу понятно.

> P.S. Выкладывать на публику скиншот с матерным словом? Это многое говорит...

К PHP это никак не относится.

> и ~30 гб в ОЗУ

Не то, чем стоит гордиться.

По ссылке — белый фон и чёрный прелоадер на нём.

> Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости
> открытых проектов, объявил о завершении независимого аудита основной  кодовой базы
> проекта PHP. Работа выполнена французской компанией QuarksLab, которая  уже привлекалась
> для аудита проектов OpenVPN, VeraCrypt и OpenSSL. В ходе проверки выявлено
> 27 проблем, из которых 17 имеют отношение к безопасности, а 10
> носят информационный характер...
> Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63049

В новости важно отметить факт, что не вся кодовая база была проверена, а только критические компоненты:

Due to budget constraints, the recent security audit focused on the most critical components of the PHP source code rather than the entire codebase. Organizations interested in sponsoring a comprehensive audit or additional assessments are encouraged to contact us!

Забудьте про PHP-FPM, ведь есть NGINX Unit с модулем PHP и он на порядок производительнее

"Порядок" это сколько процентов?

раз в 10 меньше задержек и раз в 10 больше принять коннектов

Забыли и про PHP, и про NGINX. Оставь себе.

так есть и swoole/roadrunner/amphp/frankenphp о которых местная аудитория и не слышала.

> так есть и swoole/roadrunner/amphp/frankenphp о которых местная аудитория и не слышала.

А еще есть php-gtk, на котором написана целая полнофункциональная DE, есть php-dio на котором написан модуль для управления гибридным инвертором по протоколу modbus, есть еще php-gd, на котором можно рисовать графику не напрягаясь, и так далее и тому подобное =)

Но 90% местной аудитории код вообще никогда не писала, поэтому странно надеяться что они что-то там слышали =)

И все они проверены на безопасность? Даже в топике был проверен не весь код.

> И все они проверены на безопасность? Даже в топике был проверен не весь код.

Безопасность от чего?