WordPress 性能团队发起提案使用 Yu 开发的插件,如主题检查器,以确保您的主题符合最新的标准和最佳实践。
2021 年,WordPress 的 Meta 团队构建了一个代码扫描器来检测潜在的安全风险,例如插件代码中未转义的 SQL 查询,目的是通过自动化减轻插件团队的负担。这个特定的工具不是为了鼓励最佳实践而开发的,而是为了确保进入目录的插件满足安全所需的最低标准。
性能团队提议构建一种不同类型的插件,该插件将标记任何违反插件开发要求的行为,并提出带有错误或警告的最佳实践。
“它应该涵盖插件开发的各个方面,从正确使用国际化功能等基本要求到可访问性、性能和安全最佳实践,”Google 赞助的撰稿人 Felix Arntz 说。他确定了插件的三个主要目标:
- 在开发期间向插件开发人员提供有关要求和最佳实践的反馈。
- 为 wordpress.org 插件审查团队提供额外的自动化工具,以在人工审查之前识别插件中的某些问题或弱点。
- 为技术网站所有者提供一种工具,用于根据这些要求和最佳实践评估插件。
性能团队建议该插件也可以从命令行(使用 WP-CLI)运行,并且它超越了静态代码分析,包括对代码执行运行时检查。
到目前为止,该提案收到了不同的反馈。讨论中的几位参与者欢迎开发这样一个工具,并渴望将其与他们自己的插件一起使用。其他人担心检查变得过于严厉并对插件生态系统产生负面影响。
“拥有一个自动执行这些检查的插件听起来很棒,”WordPress 开发人员 Michael Nelson 说。 ,这会很烦人。”
WordPress 开发人员 Josh Pollock 评论说,他也有同样的担忧,担心这些标准如何适用于不是为支持 PHP5 而创建的插件,使用 composer 进行依赖管理和自动化,以及共享PHP 代码与其他框架。
“如果这对插件开发人员有帮助,那很好,但如果它被用作坚持标准的武器,那么我怀疑它是否会成为 WP 棺材上的钉子,”插件开发人员说Robin W.
“如果你想坚持一些对安全性不重要的东西,当前的文档对新手来说不是很有用。”
“现在,如果工具重写代码作为标准,然后开发人员得到一个“这是一个更好的版本”,然后我会加入。
“但如果只是说‘你没有正确地转义代码’,然后让插件开发人员试图找出问题所在和位置,只会推动更少的创新。”
p>性能团队正在征求社区的反馈,尤其是插件开发人员、插件审阅者和元团队。如果他们能达成协议,Arntz 说下一步是在 GitHub 存储库中为插件检查器设计基础设施。
Arntz 说:“性能团队很高兴能领导这个项目,但其他团队的其他贡献者帮助其开发至关重要,尤其是在定义和实施不同的检查时。”
“这当然是一个雄心勃勃的项目,插件检查器也不是第一次出来了。还需要说明的是,它可能至少需要几个月才能达到第一个版本。然而,我们乐观地认为,凭借坚实的基础和从一开始的协作,我们可以创建一个满足可靠的自动化插件检查要求的工具。”
资源
