Du jour au lendemain, l’équipe Meta pour WordPress.org renversé l’interrupteur pour une nouvelle fonctionnalité d’auteur de plugin dans le répertoire officiel. Il permet aux auteurs de plugins d’accepter de confirmer les mises à jour des plugins par e-mail. Les confirmations de publication renforceront la sécurité et garantiront que toutes les mises à jour envoyées sont intentionnelles.

Dion Hulse a ouvert le billet original il y a six semaines avec une proposition détaillée et une série de questions. WordPress 5.5 introduit Mises à jour automatiques pour les auteurs de plugins et de thèmes. Alors que les mises à jour automatiques sont complètement optionnelles pour les utilisateurs finaux, Hulse voulait s’assurer que WordPress.org était au courant de tous les désastres potentiels pouvant survenir du nouveau système, tels que les versions accidentelles ou même malveillantes de plugins.

«Je voudrais proposer que nous ajoutions une étape facultative supplémentaire dans le flux de publication des plug-ins, non destinée à ajouter du frottement, mais visant à garantir que les versions de plug-in ne soient faites que lorsqu’elles sont prévues», a-t-il écrit. “Un simple e-mail de confirmation.”

Pour le moment, la confirmation de publication par e-mail est simplement une fonctionnalité optionnelle dont tous les auteurs de plugins peuvent profiter. Cependant, la proposition originale l’exigeait pour les plugins à forte utilisation – il n’y a jamais eu de décompte d’installation minimal définitif qui constituait une «utilisation élevée» dans le ticket.

L’accord général sur le fonctionnement de cette fonctionnalité semble être:

  • Inscrivez-vous maintenant pour tous les auteurs de plugins.
  • Opt-in forcé et pas de désabonnement pour les plugins à forte utilisation bientôt.
  • Désactivez tous les autres plugins à l’avenir.

Pour les plugins plus volumineux avec plusieurs committers, il y a eu une discussion sur la nécessité de demander la confirmation d’un committer distinct qui n’a pas transmis le code en direct. Cela nécessiterait essentiellement deux personnes pour confirmer qu’une mise à jour du plugin est valide. Cela pourrait potentiellement ajouter à la friction que Hulse voulait éviter dans la proposition originale. Cependant, certaines frictions pour les plugins avec des millions d’installations peuvent ne pas toujours être une si mauvaise chose. Ces plugins servent une base d’utilisateurs massive et peuvent nuire à la réputation de WordPress si un acteur malveillant obtenait un accès de validation d’une manière ou d’une autre. Demander à deux personnes de confirmer qu’une mise à jour est un bon genre de friction dans certains cas.

Cependant, exiger une confirmation à deux personnes est une discussion plus nuancée qui devra avoir lieu. Par exemple, Chris Christoff a évoqué des exemples dans le ticket de ne pas pouvoir envoyer de mises à jour pour les plugins avec deux committers lorsque l’un est en vacances ou lorsque les committers vivent dans des fuseaux horaires différents. Ce sera peut-être une fonctionnalité optionnelle pour les sociétés de plugins qui choisiront cette voie à l’avenir, en fonction de ce qui correspond le mieux à leur flux de publication.

Dans l’ensemble, la mise en œuvre actuelle est une bonne position de départ qui permettra à la communauté de peaufiner plus de détails. Il s’agit de rendre WordPress plus sécurisé. S’il y a une étape supplémentaire impliquée dans la publication d’une mise à jour de code, les auteurs de plugins doivent participer au processus. Vérifier la validité d’une version semble être une fonction de sécurité de bon sens. Je serais heureux que WordPress.org en fasse une exigence stricte – ni opt-in ni opt-out – à long terme après que la fonctionnalité ait subi quelques séries de tests dans le monde réel.

Les développeurs de thèmes n’ont pas accès à cette fonctionnalité pour le moment. Cependant, les auteurs de thèmes n’ont pas accès à SVN et doivent soumettre les mises à jour via un fichier ZIP. Il s’agit d’un processus beaucoup plus manuel et ne devrait pas être soumis au même nombre d’accidents potentiels que les mises à jour de plugins.

Comment les auteurs de plugins peuvent activer les e-mails de confirmation de publication

Capture d'écran du formulaire de courrier électronique de confirmation de la version du plugin.
Activez le formulaire de confirmation de publication par e-mail pour les auteurs de plugins.

Les auteurs de plugins devraient maintenant voir une nouvelle option d’administration pour chacun de leurs projets répertoriés dans le répertoire officiel des plugins. La section Zone de danger de l’onglet Affichage avancé doit afficher une nouvelle sous-section permettant d’activer les e-mails de confirmation de publication. À partir de là, les auteurs n’ont qu’à cliquer sur un bouton pour les activer.

Il est important de noter qu’une fois activés, les e-mails de confirmation de libération ne peuvent pas être désactivés à partir du même écran. Les auteurs de plugins reçoivent l’avis suivant avant d’activer la fonctionnalité:

Avertissement: l’activation des confirmations de version est destinée à être une action permanente. Il n’y a aucun moyen de désactiver cela sans contacter l’équipe des plugins.

Ne laissez pas l’avertissement vous décourager si vous êtes un auteur de plugin. C’est une bonne chose. Allez-y et activez-le sur au moins un plugin si vous souhaitez le tester en premier. Je l’ai déjà fait pour l’un de mes plugins. C’est un processus simple qui permet d’ajouter une couche de sécurité supplémentaire à vos plugins.


Source link