使用“Drupal安全咨询策略未涵盖的”模块

Question

我想使用一个Drupal 7模块，它“不包括在Drupal的安全咨询策略中”，特别是条件域模块。

这样我就能做我想做的事了。看起来这个模块是非常积极的使用和维护，但我不知道我应该有多担心使用一个模块，如果有任何安全问题，我将不会得到更新。

有什么建议吗？这样的编码(使用hook_form_alter和状态)自己是一种更安全的方法吗？

Answer 1

根据安全咨询过程和权限策略，具有alpha、beta或rc (relase候选人)状态的模块不在此策略的范围之内，并且这些项目的安全顾问不会被报告。在撰写本文时，条件域已经推荐了Drupal 7和8的版本，这两种版本都处于"alpha“阶段。即使没有安全警告，您仍然可以选择在模块更新时得到通知。

由于模块发布及其状态是由项目维护人员任意分配的，因此只有您才能判断是否应该使用标记为Drupal的安全建议策略不包括的模块。一个维护者的"alpha“模块将是另一个维护者的"1.0”版本。

您应该检查维护人员的可信度、在Drupal.org上的历史、该项目的受欢迎程度以及解决或响应问题的速度。许多流行和公共网站确实使用"beta“或其他模块。

将自己的模块编码为复制已经存在的模块的功能似乎更有可能引入安全漏洞，这些漏洞可能只能由一个人来诊断或修复:您。使用一个"alpha“模块与一个称职的维护人员和一个活跃的用户社区似乎要好得多。

Answer 2

在“只”使用安全建议时要小心。相反，你可能需要考虑更多的标准，以帮助你做出疏漏。正如我在(我称之为) 维修记分卡中所记录的那样。在这种情况下，它们与图表模块有关，但您当然可以将它们应用于任意一组模块。

这些是海事组织也应考虑的标准：

• 开菌Nr
• 没有RTBC的项目
• 最后提交
• 社区多库
• 支持2个核心版本
• D8的开发发行版
• 委员会的Nr
• SimpleTests或单元测试
• 自动测试启用
• 下载/安装比率
• 提交中的贡献用户