Команда производительности WordPress выдвигает предложение по разработке инструмента проверки плагинов, аналогичного плагину проверки тем, который гарантирует, что темы соответствуют последним стандартам и передовым практикам.
В 2021 году мета-команда WordPress создала сканер кода , который обнаруживает потенциальные угрозы безопасности, такие как неэкранированные SQL-запросы в коде плагина, с целью снижения нагрузки на команду плагинов за счет автоматизации. Этот конкретный инструмент был разработан не для поощрения передового опыта, а для обеспечения того, чтобы подключаемые модули, входящие в каталог, соответствовали минимальным стандартам, необходимым для безопасности.
Команда Performance предлагает создать плагин другого типа, который будет отмечать любые нарушения требований к разработке плагинов и предлагать лучшие практики с ошибками или предупреждениями.
«Он должен охватывать различные аспекты разработки плагинов, от базовых требований, таких как правильное использование функций интернационализации, до лучших практик доступности, производительности и безопасности», — сказал спонсор Google Феликс Арнц. Он определил три основные цели для плагина:
- Предоставляйте разработчикам плагинов отзывы о требованиях и передовых практиках во время разработки.
- Предоставьте группе проверки плагинов wordpress.org дополнительный автоматизированный инструмент для выявления определенных проблем или недостатков в плагине перед ручной проверкой.
- Предоставьте владельцам технических сайтов инструмент для оценки плагинов на основе этих требований и лучших практик.
Команда Performance рекомендует, чтобы плагин также работал из командной строки (используя WP-CLI) и чтобы он выходил за рамки статического анализа кода, включая проверки во время выполнения, которые выполняют код.
Предложение получило смешанные отзывы до сих пор. Несколько участников обсуждения приветствуют разработку такого инструмента и хотели бы использовать его со своими собственными плагинами. Другие обеспокоены тем, что проверки станут слишком жесткими и негативно повлияют на экосистему плагинов.
«Наличие плагина для автоматизации этих проверок звучит здорово», — сказал разработчик WordPress Майкл Нельсон . «Однако я беспокоюсь, что в конечном итоге это будет означать, что разработчикам плагинов WP также придется принять стиль кода WP, что будет довольно раздражающим».
Разработчик WordPress Джош Поллок отметил , что он разделяет эти опасения и беспокоится о том, как эти стандарты могут применяться к плагинам, которые не были созданы для поддержки PHP5, использования композитора для управления зависимостями и автоматизации и совместного использования кода PHP с другими фреймворками.
«Если это ПОМОГАЕТ разработчикам плагинов, тогда хорошо, но если это будет использоваться как оружие для настаивания на стандартах, то я подозреваю, что это станет гвоздем в крышку гроба WP”, – сказал разработчик плагинов Робин У.
«Если вы хотите настаивать на вещах, которые не являются критически важными для безопасности, то текущая документация далеко не полезна для новичков.
«Теперь, если инструмент переписал код в соответствии со стандартом, так что разработчик получил «это лучшая версия», тогда я был бы на борту.
«Но тот, который просто говорит: «Вы неправильно экранируете свой код», а затем заставляет разработчика плагина попытаться найти, что и где не так, просто приведет к меньшему количеству инноваций».
Команда Performance запрашивает отзывы у сообщества, особенно у разработчиков плагинов, рецензентов плагинов и мета-команды. По словам Арнца, если они смогут достичь консенсуса, следующим шагом будет разработка инфраструктуры для средства проверки плагинов в репозитории GitHub.
«Команда производительности была бы рада возглавить этот проект, но очень важно, чтобы дополнительные участники из других команд помогали в его разработке, особенно когда речь идет об определении и реализации различных проверок», — сказал Арнц.
«Это, безусловно, амбициозный проект, и средство проверки плагинов появляется не впервые. Также необходимо уточнить, что, вероятно, потребуется как минимум несколько месяцев, чтобы получить первую версию. Тем не менее, мы с оптимизмом смотрим на то, что с прочной основой и сотрудничеством с самого начала мы сможем создать инструмент, который будет соответствовать требованиям для надежных автоматических проверок плагинов».