安全專家啟動PHP臭蟲月

創立PHP安全回應團隊的Stefan Esser在3月1日啟動PHP臭蟲月（Month of PHP Bugs）計畫，預計每天提出至少一個PHP臭蟲。該計畫所要揭露的臭蟲鎖定PHP核心，而不涵蓋PHP應用程式。

Stefan Esser是在去年底離開PHP安全回應團隊，並且指控該組織修復PHP臭蟲的動作太慢。Stefan Esser表示，這項計畫是為了改善PHP的安全，他們鎖定的並非可能導致PHP應用程式不安全的PHP語言問題，而是PHP核心的安全漏洞。

今年3月該計畫將每天揭露至少一種在Zend Engine、PHP核心或PHP延伸語言中的新的或舊的安全漏洞，並會指出現在PHP安全回應團隊在現階段的漏洞管理程序中必要的改變。

「PHP臭蟲月」所提出的漏洞範疇將自輕微的阻斷式服務攻擊臭蟲到潛在的遠端執行程式碼漏洞，而且還釋出攻擊程式。

該站的FAQ中指出，「PHP臭蟲月」是PHP強化計畫（Hardened-PHP）的一環，這項行動並不是為了要對抗PHP組織或使用者，自2004年開始的PHP強化計畫原本就會發表PHP漏洞，PHP臭蟲月只是該計畫的另一項行動，都是為了改善PHP的安全性。

而提供攻擊程式的原因，一方面是為了證明這些是真的可被攻擊的漏洞，另外，在測試特定漏洞時，缺乏攻擊程式則是PHP漏洞沒有被正確修補或不斷出現同樣漏洞的主要原因。（編譯/陳曉莉）