一夜之间,WordPress.org 的元团队在官方目录中切换了新的插件作者功能。它允许插件作者选择通过电子邮件确认插件更新。发布确认将加强安全性并确保有意发送任何更新。
Dion Hulse 六周前打开了原始票证,其中包含详细的建议和一系列问题。 WordPress 5.5 为插件和主题作者引入了自动更新。虽然最终用户可以完全选择自动更新,但 Hulse 希望确保 WordPress.org 能够应对新系统可能导致的任何潜在灾难,例如意外甚至恶意插件发布。
他写道:“我想建议我们在插件的发布过程中增加一个额外的可选步骤,不是为了增加摩擦,而是为了确保插件只在预期的时候发布。” “简单的电子邮件确认。”
目前,通过电子邮件发布确认是一项可供所有插件作者使用的可选功能。然而,最初的提案要求使用高使用率插件——从来没有确定构成票证中“高使用率”的最低安装数量。
关于此功能应该如何工作的普遍共识似乎是:
- 所有插件作者立即选择加入。
- 一个高使用率的插件将在没有选择退出的情况下被强制执行。
- 其他插件以后都不会用到。
对于具有多个提交者的较大插件,已经有一些讨论要求未实时发布代码的单个提交者进行确认。这实际上需要两个人来确认插件更新是否有效。这可能会增加 Hulse 在他最初的提议中想要避免的摩擦。然而,对于一个拥有数百万安装量的插件来说,一些摩擦可能并不总是坏事。这些插件服务于庞大的用户群,如果恶意行为者以某种方式获得提交访问权限,则可能会损害 WordPress 的声誉。在某些情况下,让两个人确认更新是个好主意。
但是,需要两个人确认是需要进行的更细致的讨论。例如,Chris Christoff 在工单中举了一些例子,当一个提交者休假或两个提交者居住在不同时区时,无法发送具有两个提交者的插件的更新。也许这将是插件公司的一个选择功能,他们将来会选择哪一个,取决于什么最适合他们的发布过程。
总体而言,当前的实施是一个很好的起点,将使社区能够制定出更多细节。这是关于让 WordPress 更安全。如果发布代码更新涉及其他步骤,则插件作者应参与该过程。验证分发的有效性听起来像是常识性的安全功能。从长远来看,在 WordPress.org 对该功能进行了几轮实际测试之后,我会说这是一个艰难的决定 - 无论是选择加入还是选择退出 - 询问。
主题开发者目前无法使用此功能。但是,主题作者无法访问 SVN,必须通过 ZIP 文件提交更新。这是一个更加手动的过程,不应遭受与插件更新相同数量的潜在事故。
插件作者如何启用发布确认邮件
启用插件作者的电子邮件发布确认表。
插件作者现在应该看到官方插件目录中列出的每个项目都有一个新的管理选项。 Advanced View 选项卡的 Danger Areas 部分应显示一个新的子部分以启用发布确认电子邮件。从那里,作者只需单击一个按钮即可将其打开。
重要的是要注意,一旦启用,不能从同一屏幕禁用后确认电子邮件。在启用此功能之前,插件作者会收到以下通知:
警告:启用版本确认是一项永久措施。如果不联系插件团队,则无法禁用此功能。
如果您是插件作者,请不要被警告吓倒。这是一件好事。如果您想先测试,请至少在一个插件上启用它。我已经为我的一个插件做了这个。这是一个简单的过程,可帮助您为插件添加额外的安全层。
喜欢这样:
喜欢正在加载...
资源
