Importante abandono en el equipo de seguridad de PHP

Hace unos días Stefan Esser anunció su abandono del equipo de respuesta frente a incidencias de seguridad del PHP Group.

A la vista de los términos de la despedida, el asunto puede tener consecuencias, ya que Esser se queja de que los parches de seguridad para vulnerabilidades halladas en PHP tardan demasiado, puesto que la política actual es no publicar el bug hasta que el parche está listo...

Esser manifiesta haber abandonado la esperanza de mejorar la seguridad de PHP "desde dentro", al tiempo que lanza un claro aviso para navegantes:

"Para el usuario común de PHP esto significa que ya no ocultaré el lento tiempo de respuesta ante agujeros de seguridad en mis avisos. También significa que algunos de mis avisos saldrán aún sin parches disponibles, puesto que el PHP Security Response Team se negó a resolverlos durante meses. Significa también que habrá muchos más avisos sobre agujeros de seguridad en PHP."

Según Heise, los desacuerdos entre Esser y el PHP Group son profundos, ya que Esser considera algunas funciones actuales (como allow_url_fopen y allow_url_include) intrínsecamente inseguras, mientras otros desarrolladores del grupo culpan a los usuarios inexpertos de la creación de aplicaciones inseguras.

Esser había propuesto para 2007 el lanzamiento del "Mes de los bugs de seguridad de PHP", iniciativa que ahora, dadas las circunstancias, cobra mayor verosimilitud y quizás incluso se manifieste con mayor contundencia.