CentOS の PHP は本当に安全か - Qiita

※ 括弧内の日付はいずれもリリース日。 結論 基本的には問題ない。 CentOS の公式 Wiki の FAQ には「CentOS は企業向けであり、最先端よりも安定性と長期的なサポートが優先される。主なパッケージのバージョンは製品のライフサイクル全体を通じて保持される。」「最新バージョンのパッケージがないのは欠陥ではなく特徴である。」2 （意訳） とあり、バージョンが古いままなのは意図的である。 また、「セキュリティパッチやバグ修正が出荷バージョンにバックポートされている。」「単にバージョン番号を見るだけでは、脆弱性があるとは言えない。」3 （意訳）とあり、脆弱性の対応も行われていることが分かる。 ただし、CentOS 5.x の php53 パッケージはメンテナンスされていないので直ちに使用を中止した方がよい。「サポート期限」を参照のこと。 バックポート PHP 本体のセキュリティサポ

[b-wind]

“がたがた抜かす奴はこんな記事など読まずにソースからコンパイルしろ。”

[tohokuaiki]

あれ？前も似た記事ブクマした気が。コメント欄が本番

[nilab]

「セキュリティパッチやバグ修正が出荷バージョンにバックポートされている」

[Mint0A0yama]

“PHP 本体のセキュリティサポートは、例えば PHP 5.4 だと 2015/09/14 で終了しているが、ディストリビューション側が脆弱性の対応を独自に行っている”

[raimon49]

そういう方針のディストリだからなぁ。

[bk246]

Apacheなんかもバックポート対応だけど、そんなに遅くない。phpはパッケージでいれないほうがいいね

[pmakino]

ペネトレーションテストするとバナーで得られるバージョン情報だけ見て「色々脆弱性がある」と言ってくるので困る

[koheisg]

これは有益

[tmatsuu]

最近のPHPフレームワークは比較的新しいバージョンのPHPを要求するのでRHEL/CentOSで提供されるものでは厳しいことがよくある。そのためにSoftware Collectionsがあるんだけども、サポート期間がね。

[bleu-bleut]

RHELやcentOSにはディストリビュータがバックポートしてるPHPがあるのか。いつもソースからインストールしてるから、気にしなくて良さそう。

[mimesis]

CentOSのPHPがバックポートされるスピードを1例だけだが調べてみたのでまとめた。(追記) CentOS 5.11のphp53は2年近くバックポートされてなかった。結構ヤバ目。