WordPress 启动"保护夏尔"计划:插件发布新增 24 小时冷却期
背景:AI 时代的安全新挑战
去年 12 月,编程能力迎来阶跃式突破。今年 4 月 Mythos 惊艳亮相后,安全领域的攻防节奏陡然加速——就在几天前,Chrome 一次性推送了包含 429 个安全修复的版本更新。
这些变化让 WordPress 团队意识到:必须采取行动。于是,"Protect The Shire"(保护夏尔)计划应运而生——名称取自 J.R.R. 托尔金的奇幻作品,目标是动用 WordPress.org 的最佳技术力量和基础设施,确保平台上所有代码的安全性。
核心变化:插件发布新增 24 小时冷却期
目前,WordPress 插件目录拥有超过 78,000 个插件和主题,每日新增超过 3,000 次提交。现有机制是:开发者点击发布按钮后,更新会立即通过自动更新系统分发。
新规之下,每个新插件版本在发布后最多等待 24 小时,才会被分发至自动更新渠道。 这段窗口期为人工审核&查验留出了宝贵时间——其中包括一款名为"Gandalf"(甘道夫)的全新 Wapuu 吉祥物。
团队坦言,随着 AI 审核&查验能力持续进化,24 小时完全有可能压缩至分钟级别。但在 AI 模型日新月异的当下,宁可谨慎一些。
由来:供应链攻击敲响警钟
npm、PyPI、GitHub、RubyGems 等生态已多次遭遇复杂供应链攻击。WordPress 自身也经历过一次"迷你版"危机——Essential Plugins 丑闻:30 个优质插件被出售给带有恶意的新作者,导致所有插件均被植入后门。
这一事件印证了"快速推送安全更新"与"确保更新本身安全可靠"之间的两难。
WordPress 的底气与野心
值得骄傲的是,WordPress Core 的表现一贯稳健:7.0 版本在发布两周内已被超过 50% 的 WordPress 网站采用——这是数千家主机商、开发者、团队协同努力的成果。
更可观的数据是:插件目录累计安装量已突破 4 亿次,其中有 69 个插件(不少来自独立开发者)各自安装在超过 100 万个网站上。团队表示,下一步计划借鉴 GitHub 的最佳实践,将这套安全体系带给 WordPress.org 上的每一位开发者。
“自由与安全并非零和博弈。开源精神告诉我们:安全源于透明,而非隐蔽;协作胜于竞争。”
评论0 注意:评论区不审核也不处理售后问题!如有售后问题请前往用户中心提交工单以详细说明!