Ночью Meta Team для WordPress.org щелкнула переключателем для новой функции автора плагина в официальном каталоге. Это позволяет авторам плагинов подтверждать обновления плагинов по электронной почте. Подтверждения выпуска укрепят безопасность и сделают все отправленные обновления преднамеренными.
Шесть недель назад Дион Халс открыл первоначальный билет с подробным предложением и набором вопросов. WordPress 5.5 представил автоматические обновления для авторов плагинов и тем. Хотя автоматические обновления полностью доступны для конечных пользователей, Халс хотел убедиться, что WordPress.org будет в курсе любых потенциальных проблем, которые могут возникнуть из-за новой системы, таких как случайные или даже вредоносные выпуски плагинов.
«Я хотел бы предложить, чтобы мы добавили дополнительный необязательный шаг в поток выпуска для плагинов, не предназначенный для добавления трений, но намеревающийся гарантировать, что выпуски плагинов будут выпускаться только тогда, когда они предназначены», – написал он. «Простое подтверждение по электронной почте».
На данный момент подтверждение выпуска по электронной почте – это просто опция, которой могут воспользоваться все авторы плагинов. Однако первоначальное предложение требовало этого для плагинов с высокой степенью использования – никогда не было окончательного минимального количества установок, которое составляло бы «высокий уровень использования» в заявке.
Общее мнение о том, как эта функция должна работать, похоже:
Подключайтесь для всех авторов плагинов.
Принудительная подписка и отказ от отказа от часто используемых плагинов.
Отключитесь от всех остальных плагинов в будущем.
Для более крупных плагинов с несколькими коммиттерами было некоторое обсуждение необходимости подтверждения от отдельного коммиттера, который не публиковал код вживую. По сути, для подтверждения допустимости обновления плагина потребуется два человека. Это потенциально могло добавить трений, которых Халс хотел избежать в первоначальном предложении. Однако некоторые трения для плагинов с миллионами установок не всегда могут быть такими уж плохими. Эти плагины обслуживают огромную базу пользователей и могут навредить репутации WordPress, если злоумышленник каким-то образом получит доступ к фиксации. Наличие двух человек, подтверждающих обновление, в некоторых случаях является хорошим препятствием.
Однако требование подтверждения от двух человек – это более тонкая дискуссия, которая должна произойти. Например, Крис Кристофф привел в заявке примеры невозможности отправлять обновления для плагинов с двумя коммиттерами, когда один в отпуске или когда коммиттеры живут в разных часовых поясах. Возможно, это будет дополнительная функция для разработчиков плагинов, которые решат пойти по этому пути в будущем, в зависимости от того, что лучше всего соответствует их потоку выпуска.
В целом, текущая реализация является хорошей отправной точкой, которая позволит сообществу уточнить дальнейшие детали. Речь идет о том, чтобы сделать WordPress более безопасным. Если есть дополнительный шаг, связанный с публикацией обновления кода, авторы плагинов должны быть в курсе этого процесса. Проверка действительности выпуска звучит как обычная функция безопасности. Я бы приветствовал, что WordPress.org сделал это жестким требованием – ни согласия, ни отказа – в долгосрочной перспективе, после того как функция прошла несколько раундов тестирования в реальном мире.
Разработчики тем в настоящее время не имеют доступа к этой функции. Однако авторы темы не имеют доступа к SVN и должны отправлять обновления через ZIP-файл. Это гораздо более ручной процесс, и он не должен подвергаться такому же количеству потенциальных неудач, как обновления плагинов.
Как авторы плагинов могут включить электронные письма с подтверждением выпуска
^
Включить форму подтверждения выпуска по электронной почте для авторов плагинов.
Авторы плагинов теперь должны увидеть новую опцию администрирования для каждого из своих проектов, перечисленных в официальном каталоге плагинов. В разделе «Зона опасности» вкладки «Расширенный вид» должен отображаться новый подраздел для включения сообщений электронной почты с подтверждением выпуска. Оттуда авторам просто нужно нажать кнопку, чтобы включить их.
Важно отметить, что после включения электронные письма с подтверждением выпуска нельзя отключить с того же экрана. Перед включением функции авторам плагина предоставляется следующее уведомление:
Предупреждение. Включение подтверждения выпуска должно быть постоянным действием. Невозможно отключить это, не связавшись с командой разработчиков плагинов.
Не позволяйте предупреждению сбить вас с толку, если вы являетесь автором плагина. Это хорошая вещь. Включите его хотя бы в одном плагине, если вы хотите сначала его протестировать. Я уже сделал это для одного из моих плагинов. Это простой процесс, который помогает добавить дополнительный уровень безопасности к вашим плагинам.
