会话API安全咨询

Question

我正在致力于一个网站，是有兴趣增加聊天功能。我做了一些研究，最后安装了DrupalChat模块及其依赖项。在配置模块之后，我意识到除非我还安装了会话API模块，否则它不会对匿名用户起作用。

我担心的是，在会话API模块信息页上，它显示了一个横幅，声明

这个项目不包括在Drupal的安全咨询政策中。

我以前没有遇到过这个问题，所以我不确定我应该如何使用会话API模块？

这是否意味着它可能会收到未来的更新来解决悬而未决的安全问题？我是否应该使用其他方法将聊天添加到网站上？如果有，有什么建议吗？

Answer 1

基本上，所有这些都意味着模块维护人员还没有选择进入安全咨询覆盖范围。似乎他们甚至还没有在评审队列中打开一个应用程序。

我让他们在新发行中这样做。同样，Acquia不建议实现安全咨询政策(文章)中未涵盖的模块。万神殿也认为这是一个危险的标志(文章)。

但我不会太担心。只需记住总是先更新这个模块。但是的，我不是安全专家

Answer 2

是Drupal社区(Drupal安全小组)的一个程序，专门用于审查报告的安全缺陷、贡献代码、管理已确定的安全问题并发布计划的安全更新(在贡献模块和维护人员的情况下)。

对于已提供的模块，选择采用安全咨询手段，安全小组可能会审查模块的稳定版本是否存在明显的安全缺陷。(请注意，只有稳定的版本包含在安全建议中，而不是开发版本或alpha/beta/rc预发布版本中。)此外，可用的安全更新/修复将在安全公告中公布，这些更新/修复可以方便地作为RSS提要提供，并且可以在Twitter上订阅。

新模块维护人员可以选择--在他们的模块(S)中加入该程序之后，通过在安全咨询应用程序队列中应用他们的一个模块来证明他们对Drupal编码标准和最佳实践的基本理解。这个过程有时需要几个月的时间才能完成，因为它是基于Drupal开发人员社区自愿进行的评审，以及Drupal网站管理员团队的最终批准，他们也需要花时间来审查源代码。

一个模块的横幅仍然声明没有安全咨询覆盖，这意味着维护人员是Drupal系统的新成员，因此没有自动选择加入，因为他们没有经过上述检查。(或者他们只是没有选择进入安全咨询，因为他们的模块还没有稳定的版本，或者他们只是忘记了。)

现在谈一谈安全问题：

没有安全咨询覆盖的模块不会自动坏，也不会有安全问题。与drupal.org上的所有其他模块一样，它可能会从Drupal社区接收其维护人员和/或贡献者(修补程序)的bug修复和进一步的特性。

好的指标总是模块的使用统计数据，它的发布队列中的活动，以及模块页面上声明的维护状态。

高使用率的模块可能不会留下许多(未识别的)错误或其他问题。由于模块的使用率很低(对于非常特殊的用例来说是存在的)，我总是使用手动的代码评审来检查代码的质量和模块的实际操作。

由于安全性更新不会在安全公告中公布，因此您希望最后列出/跟踪在项目中使用的任何此类模块的问题队列，以便密切关注即将出现的重要问题/修复。