Une polémique fait actuellement rage dans le secteur de la sécurité du PHP. ll existe visiblement des différences d’opinions quant à la gestion des bugs et des failles signalées sur cette technologie utilisée par un très grand nombre de sites, dont celui de votre serviteur.

Stefan Esser, un membre de la PHP Security Response Team, a décidé de quitter l’équipe pour cause de vision divergente des évènements. Selon lui, les réactions aux bugs et failles sont bien trop lentes. Ses tentatives pour rendre le PHP plus sécurisé se sont révélées futiles. Il explique même qu’il est inutile de compter le nombre de fois où il a été accusé d’être un traître quand il publiait un bulletin de sécurité à propos d’une faille.

C’est que la méthode visant à sécuriser davantage le PHP est au cœur des débats. Selon Esser, le temps de réaction de l’équipe est beaucoup trop long. Seules trois personnes seraient affectées à la résolution des bugs et le manque de suivi provoque divers problèmes : failles partiellement corrigées, bugs réintroduits, etc. Son départ lui permettra selon lui de pouvoir continuer à émettre des bulletins de sécurité. Probablement une méthode pour provoquer des réactions.

Du côté des autres développeurs, l’attitude semble plus proche de la « technique » utilisée par les grands éditeurs : pas de bulletin de sécurité tant que la faille n’est pas corrigée. L’information reste donc bien au chaud, et ne risque pas de provoquer de répercussions indésirables. Zeev Suraski, responsable technique chez Zend, explique que la situation est provoquée par nombre de développeurs inexpérimentés qui utilisent le PHP de manière insécurisée.

Quand bien même, Esser estime que le langage pourrait être sécurisé davantage pour justement prendre en compte le fait qu’il est employé par un nombre trop important de développeurs inexpérimentés. Du côté de Zend, Suraski espère qu’Esser reprendra ses esprits et réintègrera l’équipe de sécurité. Il espère également que le « mois des bugs de sécurité du PHP » programmé par Esser quelque part en 2007 sera abandonné, de peur d’endommager le projet dans sa globalité.

On notera que Stefan Esser fait également partie du projet Hardened PHP dont l’objectif est de proposer des correctifs destinés à améliorer la sécurité du PHP. (Merci LiNuCe)