PHPデベロップメントチームは3月30日(米国時間)、「PHP: News Archive - 2021」において、PHPのリリースを2週間保留すると発表した。PHPは先週末、PHPリポジトリに悪意あるコードが仕込まれるというサイバーインシデントが発覚した(「PHPリポジトリに悪意あるコード仕込まれる、gitサーバ停止」。リリースの2週間保留はこのサイバーインシデントを受けたもので、これ以上の被害が存在していないという想定の下で2週間のリリース保留を実施すると説明している。
先週末、PHPソースコードリポジトリへ悪意あるコードがプッシュされた。この変更は2名のPHP開発者の名義で行われているが、2人はこうした行動は行っていないと説明しており、ソースコードを管理しているサーバが不正侵入を受け、このような変更が仕込まれたと推測されている。このサイバーインシデントは現在も調査中とされており、根本原因は明らかになっていない。不正変更はすぐに差し戻されており、ユーザーへの影響はないとされている。
今回のPHPデベロップメントチームの対応は、これ以上不正な変更は行われていないという前提の下で行われており、今後事態が明らかになって影響範囲が広いことが明らかになることがあれば、さらにリリースが保留される可能性もある。
PHPデベロップメントチームは既に今回不正コードがプッシュされたgitサーバを停止しており、このまま使わないことも決めている。今後はこれまでミラーとして使われてきたGitHubのリポジトリをオフィシャルのリポジトリとして扱っていくと説明している。