WordPress 的性能團隊正在啟動一個 提議 用於開發類似於 主題檢查插件,確保主題符合最新標準和最佳實踐。
2021 年,WordPress 的 Meta 團隊 建立了一個代碼掃描儀 檢測潛在的安全風險,例如插件代碼中未轉義的 SQL 查詢,目的是通過自動化減少插件團隊的負載。 該特定工具的開發不是為了鼓勵最佳實踐,而是為了確保進入目錄的插件符合安全所需的最低標準。
性能團隊正在提議構建一種不同類型的插件,該插件將標記任何違反插件開發要求的行為,並建議帶有錯誤或警告的最佳實踐。
「它應該涵蓋插件開發的各個方面,從正確使用國際化功能等基本要求到可訪問性、性能和安全最佳實踐,」谷歌贊助的貢獻者 Felix Arntz 說。 他確定了插件的三個主要目標:
- 在開發過程中向插件開發人員提供有關需求和最佳實踐的反饋。
- 為 wordpress.org 插件審查團隊提供額外的自動化工具,以在手動審查之前識別插件中的某些問題或弱點。
- 為技術網站所有者提供一種工具,以根據這些要求和最佳實踐評估插件。
性能團隊建議該插件也可以從命令行工作(使用 WP-CLI),並且它超越了靜態代碼分析,包括執行代碼的運行時檢查。
到目前為止,該提案收到了不同的反饋。 討論中的一些參與者歡迎開發這種工具,並渴望將其與他們自己的插件一起使用。 其他人擔心檢查變得過於嚴厲並對插件生態系統產生負面影響。
「擁有一個插件來自動執行這些檢查聽起來很棒,」WordPress 開發人員 Michael Nelson 說. 「我擔心,最終這將意味著 WP 插件作者開發人員也需要採用 WP 的代碼風格,這會很煩人。」
WordPress 開發者喬什·波洛克 評論 他也有這些擔憂,並擔心這些標準如何應用於不是為支持 PHP5 而創建的插件,使用 composer 進行依賴管理和自動化,以及與其他框架共享 PHP 代碼。
「如果這個幫助插件開發者,那很好,但如果它被用作堅持標準的武器,那麼我懷疑它會成為 WP 棺材上的釘子,」插件開發者 Robin W 說.
「如果你想堅持對安全性不重要的東西,那麼當前的文檔對新手來說就沒什麼用了。
「現在,如果該工具將代碼重寫為標準,那麼開發人員得到一個『這是一個更好的版本』,那麼我就會加入。
「但是一個只是說’你沒有正確地轉義你的代碼’然後讓插件開發人員嘗試找出錯誤的地方和地方只會推動更少的創新。」
性能團隊正在向社區徵求反饋,特別是插件開發人員、插件審閱者和元團隊。 如果他們能夠達成共識,Arntz 說下一步是在 GitHub 存儲庫中為插件檢查器設計基礎設施。
Arntz 說:「性能團隊很高興能在這個項目中發揮帶頭作用,但其他團隊的其他貢獻者幫助其開發至關重要,尤其是在定義和實施不同的檢查時。」
「這當然是一個雄心勃勃的項目,而且插件檢查器並不是第一次出現。 還需要澄清的是,可能至少需要幾個月才能達到第一個版本。 然而,我們樂觀地認為,從一開始就有堅實的基礎和協作,我們可以創建一個滿足可靠自動化插件檢查要求的工具。」