Вопрос или проблема
Я немного сбит с толку значением релизов «только с исправлениями безопасности» в PHP.
Согласно его официальному сайту:
После этого двухлетнего периода активной поддержки каждая ветка поддерживается в течение двух дополнительных лет только для критических проблем безопасности.
(акцент мой)
Означает ли это, что некритические проблемы безопасности не будут устранены? Если да, то в сценарии обычного веб-хостинга, разумно ли с точки зрения безопасности оставаться в такой ветке (например, 8.1 на момент написания)?
Под «обычным веб-хостингом» я имел в виду веб-хостинг, который не требует экстремально высокого уровня безопасности, например, не связанный с национальной безопасностью или критической инфраструктурой.
некритические проблемы безопасности не будут устранены?
Да, это верно. Ошибки и некритические проблемы безопасности не исправляются.
Ответ или решение
Понимание политики "только для исправления безопасности" в PHP и ее применение в веб-хостинге
Вопрос о том, что означает поддержка "только для исправления безопасности" в более старых версиях PHP, требует глубокой проработки, особенно в контексте веб-хостинга, который не затрагивает критически важные сферы, такие как национальная безопасность.
Что означает "только для исправления безопасности"?
Согласно официальной информации на сайте PHP, после двухлетнего периода активной поддержки каждая версия PHP получает еще два года поддержки, но только для критических проблем безопасности. Это означает, что в этот период будут фиксироваться только те уязвимости, которые могут быть использованы для создания серьезных угроз безопасности, но не будет производиться работа над исправлением других уязвимостей или багов, которые считаются менее критическими.
Таким образом, можно сделать вывод, что исправления для некритических вопросов безопасности не предусмотрены. Это подчеркивает важность выбора правильной версии PHP для вашего проекта.
Стоит ли оставаться на старой версии PHP?
С точки зрения безопасности:
Использование версии PHP, находящейся на поддержке "только для исправления безопасности", как, например, версия 8.1, может быть приемлемым вариантом для обычного веб-хостинга, который не связан с высокими требованиями к безопасности. Однако, важно отметить, что:
-
Критические уязвимости: Вы будете защищены от основных угроз, которые могут серьезно повлиять на вашу инфраструктуру, если они не будут устранены.
-
Некритические уязвимости: Существует риск, что некритические уязвимости, которые могут быть использованы злоумышленниками, останутся без внимания. Эти уязвимости, хотя и не считающиеся «критическими», могут привести к утечкам данных или другим проблемам.
-
Широкое векторное разнообразие: Учитывая, что злоумышленники постоянно развивают свои методы, некритические уязвимости могут быть скомбинированы для создания более серьезной угрозы.
С точки зрения совместимости:
Старая версия PHP может также оказать влияние на совместимость с новыми библиотеками и фреймворками. Разработчики новых инструментов часто прекращают поддержку устаревших версий, что может привести к проблемам с обновлениями и функциональностью.
Рекомендации для веб-хостинга
-
Регулярное обновление: Даже если вы используете устаревшую версию PHP, рекомендуем следить за новыми выпусками и относительно регулярно обновляться до актуальных версий, которые находятся на активной поддержке.
-
Мониторинг безопасности: Используйте инструменты мониторинга безопасности, которые помогут выявлять и реагировать на потенциальные угрозы, даже если они не являются критическими в данный момент.
-
Образование и осведомленность: Будьте в курсе последних новостей в области безопасности и обновлений для PHP. Это знание поможет вам лучше понять потенциальные угрозы и риски.
-
Оценка риска: Если ваш проект не является высокорисковым, вы можете оставить все, как есть. Однако, не забывайте, что со временем потребности в безопасности могут изменяться.
В заключение, использование старой версии PHP с поддержкой "только для исправления безопасности" может быть приемлемым для общего веб-хостинга, но требует повышенного внимания к рискам и возможным уязвимостям. Разумный подход — это регулярное обновление и мониторинг, что поможет защитить ваш проект от потенциальных угроз.