Сообщество FriendsOfPHP («Друзья PHP») собирает на GitHub базу известных уязвимостей этого языка, чтобы упростить создание безопасных программных продуктов. Проект под названием PHP Security Advisories Database («База рекомендаций по безопасности PHP») призван сократить использование устаревших средств разработки и повысить защищенность веб-приложений.

Скриптовый язык PHP с открытым исходным кодом позволяет создавать веб-приложения и динамические сайты. Первый релиз был представлен еще в 1995 году, а самая актуальная на сегодня версия — седьмая. Несмотря на популярность платформы, критики указывают на нестройную архитектуру языка, отсутствие обратной совместимости между разными поколениями и сложный синтаксис.

Участники FriendsOfPHP хотят подготовить руководство по безопасности, из которого будет понятно, какие инструменты стоит использовать в работе и до какой версии следует обновляться, чтобы застраховаться от случайного применения вредоносного кода. Собранный сообществом архив гарантированно надежных библиотек доступен для скачивания всем желающим на GitHub.

Пользователи GitHub загрузили подборку уже более 2 миллионов раз. Возможно, сказалось недавнее функциональное обновление базы FriendsOfPHP и ориентированного на нее пакета Roave/Security Advisories для программного менеджера PHP Composer. Новая версия Composer не позволяет собрать проект, применяя библиотеки с незакрытыми уязвимостями, и разработчик может сразу убрать лишнее.

В разное время в платформе PHP находили бреши, которые позволяли злоумышленникам удаленно запускать произвольный код, передавать зашифрованные данные в открытом формате и даже майнить биткойны. Всего с 2000 года в PHP обнаружили 560 проблем безопасности, из которых 42 % вызывают критический сбой приложения, 27% направлены на переполнение буфера, а 25% связаны с исполнением постороннего кода.

Впрочем, как отмечают журналисты издания Bleeping Computer, PHP-разработчики постепенно осознают важность безопасности наряду с производительностью приложений и удобством для пользователя.

Категории: Главное, Кибероборона