PHP 基金会成立生态系统安全团队

PHP 基金会刚刚宣布成立一个新的“生态系统安全团队”（Ecosystem Security Team），该团队由 Alpha-Omega 提供资助，旨在全面提升 PHP 开源生态系统的安全性。Volker Dusch 将担任 PHP 基金会的“驻场生态系统 AI 安全工程师”（Ecosystem AI Security Engineer in Residence），负责牵头开展这项工作；这是一个为期六个月的全职职位，此外还有额外的资助资金用于支持该团队实现更广泛的目标。

Dusch 曾担任 PHP 8.5 版本的发布经理以及 PHPUnit 的维护者，目前他在 Tideways 公司从事 PHP 性能工具的开发工作。此次资助资金来自 Alpha-Omega；该项目是 OpenSSF（开放源代码安全基金会）的一项倡议，隶属于 Linux 基金会生态系统，专注于提升开源软件的安全性。

为何选在此时？

推动这一举措的部分原因在于：由 AI 生成的漏洞报告呈上升趋势，且利用 AI 技术辅助发现漏洞的工具已变得触手可及。这给项目维护者们带来了更大的压力——在这些维护者中，许多人都是志愿者，他们所维护的项目往往仅由寥寥数人（甚至无人）在背后支撑。

在相关公告中，Elizabeth Barron 直言不讳地指出了这一点：

PHP 是现代 Web 的基石，确保其安全性对于 Web 的很大一部分功能与完整性至关重要。

团队的工作内容

该团队的工作涵盖漏洞分流、工具开发以及为维护者提供支持。以下是公告中列出的各项目标：

• 协助对漏洞报告进行分流，并在必要时负责任地予以披露；
• 致力于开发相关工具，以协助发现、分类及修复安全漏洞；
• 分享关于如何高效运用这些工具的新兴技术，并协助 PHP 生态系统采纳这些技术；
• 充分考量维护者的精力负荷，提供高质量的漏洞报告，并协调各项目对新安全工具的接入与使用；
• 为维护者人数较少的项目提供支持，并为那些已无活跃维护者的项目寻求解决方案；

Dusch 阐述了他开展初期工作的具体思路：

我的目标是保持坦诚与开放，并尽早通报“生态系统安全团队”的组建进展，同时充分利用我们现有的资源。