The PHP Foundation 的核心使命是确保 PHP 语言的长期繁荣。目前,您或您公司的财务贡献主要用于资助从事 PHP 语言开发的开发者。除了赞助外,The PHP Foundation 还通过拨款支持各类项目,例如去年由 Sovereign Tech Agency 资助的 PHP 核心安全审计。
今年 3 月,Linux Foundation 宣布了一笔拨款,目标是加强开源软件生态系统的安全性。该资金由 Alpha-Omega 和开源安全基金会(OpenSSF)管理。
我们非常高兴地宣布,The PHP Foundation 已获得 Alpha-Omega 的拨款,用于帮助提升 PHP 开源生态系统的安全性。
PHP 是现代 Web 的基础,确保其安全性对于 Web 的功能性和完整性至关重要。
新的基于 AI 的安全工具正在加速开源软件中漏洞的发现。像 Project Glasswing 这样的倡议正在努力让软件为恶意行为者更容易获取此类工具做好准备。许多大型 PHP 项目已经收到并处理了可信的审计报告以及这些新工具发现的具体问题。
与此同时,许多项目报告称他们需要处理的漏洞报告数量急剧增加,其中很多带有懒惰 AI 生成的特征。这些低质量报告浪费了维护者的时间,并掩盖了真正的合法问题。
The PHP Foundation 正在组建 PHP 生态系统安全团队,以帮助我们的生态系统维护者应对这些新挑战。这个新的 PHP Foundation 团队将帮助分类漏洞报告,并在必要时负责披露。它将致力于开发工具来发现、分类和修复安全漏洞,分享有效使用这些工具的新兴技术,并帮助 PHP 生态系统采用这些工具。该团队将尊重维护者的时间精力,提供高质量的报告,协调项目获取新的安全工具,支持只有少数维护者的项目,并为完全没有活跃维护者的项目寻找解决方案。
我们很高兴看到朋友们 Drupal Association 也获得了 Alpha-Omega 的类似拨款,用于保护构建在 PHP 之上的 Drupal 生态系统。The PHP Foundation 期待与 Drupal 安全团队在共享方法上进行合作,并希望在组建新团队的过程中,吸引更多来自各个 PHP 项目和子社区的专家加入。
The PHP Foundation 的这笔拨款将资助一个为期六个月的全职职位,名为 “The PHP Foundation 生态系统 AI 安全驻场工程师”,负责领导这项工作并为初始阶段之后制定可持续性计划。此人将在紧急、高风险情况下充当安全研究人员与维护者之间可信的中间人,并与其他语言生态系统中担任类似角色的同行进行合作。此外,拨款资金还将用于上述团队目标中无法由单一付费负责人职位或 PHP 社区志愿者帮助完成的部分。
在与 PHP 生态系统中的社区领袖、知名安全专家和 Foundation 利益相关者进行多次对话后,The PHP Foundation 董事会一致投票决定将该职位提供给 Volker Dusch (@edorian)。我们请 Volker 自我介绍。
认识 Volker
你们中的一些人可能认识我,我是 PHP 8.5 的 Release Manager 之一,或者在过去 20 年中,我参加或演讲过 100 多场 PHP 相关的会议。
PHP 是我职业生涯的主要编程语言,我曾帮助维护 PHPUnit 几年,最近还参与了各种语言 RFC 的工作。
过去,我曾在一个高流量的社交网站工作,从事太阳能电站的远程监控以及医学试验的软件开发。目前,我在 Tideways 从事 PHP 性能和监控工具的相关工作,我非常感谢 Tideways 允许我抽出时间来专注于这个新挑战。
想听听我的想法?有反馈吗?
我的目标是保持开放,并在资源允许的情况下尽早沟通生态系统安全团队的组建进展。
大型项目和基础库已经在我安全分析的雷达上,我特别希望听到那些愿意积极合作且有时间精力的人的声音。
所以,如果您想推荐您的项目,或者对我有任何问题或意见,我非常乐意收到您的来信!
联系邮箱:volker@thephp.foundation
引用链接
在 开源实战 中,安全审计和漏洞响应正变得日益关键。PHP 基金会此举,也反映出整个 安全/渗透/逆向 领域对供应链安全与协作模式的深度思考。当然,对多数开发者来说,这些动态更值得在 开发者广场 里细细讨论一番。
发表于 1 小时前
|
查看: 3|
回复: 0
