WordPress 的性能团队正在启动一个 提议 用于开发类似于 主题检查插件,确保主题符合最新标准和最佳实践。
2021 年,WordPress 的 Meta 团队 建立了一个代码扫描仪 检测潜在的安全风险,例如插件代码中未转义的 SQL 查询,目的是通过自动化减少插件团队的负载。 该特定工具的开发不是为了鼓励最佳实践,而是为了确保进入目录的插件符合安全所需的最低标准。
性能团队正在提议构建一种不同类型的插件,该插件将标记任何违反插件开发要求的行为,并建议带有错误或警告的最佳实践。
“它应该涵盖插件开发的各个方面,从正确使用国际化功能等基本要求到可访问性、性能和安全最佳实践,”谷歌赞助的贡献者 Felix Arntz 说。 他确定了插件的三个主要目标:
- 在开发过程中向插件开发人员提供有关需求和最佳实践的反馈。
- 为 wordpress.org 插件审查团队提供额外的自动化工具,以在手动审查之前识别插件中的某些问题或弱点。
- 为技术网站所有者提供一种工具,以根据这些要求和最佳实践评估插件。
性能团队建议该插件也可以从命令行工作(使用 WP-CLI),并且它超越了静态代码分析,包括执行代码的运行时检查。
到目前为止,该提案收到了不同的反馈。 讨论中的一些参与者欢迎开发这种工具,并渴望将其与他们自己的插件一起使用。 其他人担心检查变得过于严厉并对插件生态系统产生负面影响。
“拥有一个插件来自动执行这些检查听起来很棒,”WordPress 开发人员 Michael Nelson 说. “我担心,最终这将意味着 WP 插件作者开发人员也需要采用 WP 的代码风格,这会很烦人。”
WordPress 开发者乔什·波洛克 评论 他也有这些担忧,并担心这些标准如何应用于不是为支持 PHP5 而创建的插件,使用 composer 进行依赖管理和自动化,以及与其他框架共享 PHP 代码。
“如果这个帮助插件开发者,那很好,但如果它被用作坚持标准的武器,那么我怀疑它会成为 WP 棺材上的钉子,”插件开发者 Robin W 说.
“如果你想坚持对安全性不重要的东西,那么当前的文档对新手来说就没什么用了。
“现在,如果该工具将代码重写为标准,那么开发人员得到一个‘这是一个更好的版本’,那么我就会加入。
“但是一个只是说’你没有正确地转义你的代码’然后让插件开发人员尝试找出错误的地方和地方只会推动更少的创新。”
性能团队正在向社区征求反馈,特别是插件开发人员、插件审阅者和元团队。 如果他们能够达成共识,Arntz 说下一步是在 GitHub 存储库中为插件检查器设计基础设施。
Arntz 说:“性能团队很高兴能在这个项目中发挥带头作用,但其他团队的其他贡献者帮助其开发至关重要,尤其是在定义和实施不同的检查时。”
“这当然是一个雄心勃勃的项目,而且插件检查器并不是第一次出现。 还需要澄清的是,可能至少需要几个月才能达到第一个版本。 然而,我们乐观地认为,从一开始就有坚实的基础和协作,我们可以创建一个满足可靠自动化插件检查要求的工具。”