it-swarm.com.de

Verwendung von Modulen, die "nicht unter die Sicherheitsrichtlinien von Drupal fallen"

Ich möchte ein Modul Drupal 7) verwenden, das "nicht von Drupals Sicherheitsempfehlungsrichtlinie abgedeckt wird", insbesondere das Modul Bedingte Felder .

Es würde mir erlauben, genau das zu tun, was ich brauche. Es sieht so aus, als ob dieses Modul ziemlich aktiv verwendet und gewartet wird, aber ich bin mir nicht sicher, wie besorgt ich über die Verwendung eines Moduls sein sollte, über das ich keine Updates erhalten werde, wenn ein Sicherheitsproblem auftreten sollte.

Irgendein Rat? Ist das Codieren so etwas (mit hook_form_alter und Staaten) selbst ein sicherer Ansatz?

4
Danny Browne

Gemäß der Sicherheitsempfehlungsprozess- und Berechtigungsrichtlinie werden Module mit dem Status Alpha, Beta oder RC (Relase Candidate) nicht von dieser Richtlinie abgedeckt, und Sicherheitshinweise werden für diese Projekte nicht gemeldet. Zum Zeitpunkt des Schreibens hat Conditional Fields Releases für Drupal 7 und 8 empfohlen, die sich beide im "Alpha" -Stadium befinden. Auch ohne Sicherheitshinweise können Sie wählen muss benachrichtigt werden, wenn das Modul aktualisiert wird.

Da Modulfreigaben und deren Status von den Projektbetreuern willkürlich zugewiesen werden, können nur Sie beurteilen, ob Sie ein Modul verwenden sollten, das als nicht von der Sicherheitsempfehlungsrichtlinie von Drupal abgedeckt gekennzeichnet ist. Das "Alpha" -Modul eines Betreuers wäre eine "1.0" -Version für einen anderen Betreuer.

Sie sollten die Glaubwürdigkeit des Betreuers, den Verlauf auf Drupal.org, die Popularität des Projekts und die Geschwindigkeit, mit der Probleme gelöst oder beantwortet werden, überprüfen. Viele beliebte und öffentliche Websites verwenden "Beta" oder andere Module.

Das Codieren Ihres eigenen Moduls zum Duplizieren der Funktionalität eines bereits vorhandenen Moduls führt mit größerer Wahrscheinlichkeit zu Sicherheitslücken, die möglicherweise nur von einer Person diagnostiziert oder behoben werden können: Ihnen. Die Verwendung eines "Alpha" -Moduls mit einem kompetenten Betreuer und einer aktiven Benutzergemeinschaft erscheint weitaus ratsamer.

5
komlenic

Seien Sie "nur" vorsichtig, wenn Sie die Sicherheitshinweise verwenden. Stattdessen möchten Sie möglicherweise viele weitere Kriterien berücksichtigen, um Entscheidungen zu treffen. Wie ich dokumentiert habe in (was ich nenne) Wartungs-Scorecards . In diesem Fall beziehen sie sich auf Diagrammmodule, aber Sie können sie natürlich für jeden Satz von Modulen anwenden.

Dies sind IMO die Kriterien, die Sie auch berücksichtigen sollten:

  • Anzahl offener Bugs
  • Keine RTBC-Artikel
  • Letzte Commits
  • Community-Dokument
  • Unterstützt 2 Kernversionen
  • DEV-Release für D8
  • Anzahl der Committer
  • SimpleTests oder Unit Tests
  • Automatisiertes Testen aktiviert
  • Downloads/Installationsverhältnis
  • Mitwirkende Benutzer in Commits
2
Pierre.Vriens