为什么我的新模块的安全屏障被移除？

Question

最近，我成功地在Drupal.org上创建了一个模块，从沙箱到项目应用程序到完整的项目，遵循了整个过程。

几周后，我的模块失去了安全防护，下面的消息可以在项目页面上看到。

这个项目不属于安全咨询政策的范围。可能公开披露了漏洞。使用风险自负！

我已经看过了一些文档，比如安全咨询过程和权限策略，但是我找不到解释。

为什么该消息会出现在项目页面中？

我该怎么解决呢？

我怎样才能在我的模块中找出问题所在？

Answer 1

只有完全释放才能得到安全防护。你的截图只显示了一个开发版本。我不认为盾牌是从你的模块中移除的，因为它一开始就不会有一个，因为你没有一个完整的版本。

为了获得安全保护，您需要发布一个完整的版本(一个没有-dev、-alpha或-beta后缀的版本)。

编辑**

我刚刚发现，除了创建一个完整的发行版之外，还需要采取一个额外的步骤。直到最近，如果一个模块被完全释放，它就会自动收到安全通知。但是，我刚刚将一个从RC获得的模块升级到了一个完整的版本，但它没有收到安全建议。编辑模块页面现在有一个选项，需要模块维护人员选择进入安全建议。

即使这样做了，我的模块仍然没有顾问盾，所以我假设它现在接受了安全小组的一些审查，然后才收到它。这个问题似乎支持这样的假设：https://www.drupal.org/node/2666584

-编辑2

结果发现他们是系统中的一个漏洞。我已经能够将模块推广到drupal.org，而不是沙箱了。对于现有的模块，当从D7 -> D8升级时，模块会在我发布完整版本时自动获得屏蔽。但是，上面提到的模块没有D7版本，当我将它提升到一个完整的版本时，它没有收到屏蔽。在等待了两个星期的批准后，我终于联系了安全小组，他们对它进行了调查，发现了缓存系统中的一个错误，并对其进行了修复。

所以，我给出的原始信息--你只需要发布一个完整的版本，并且选择了安全咨询覆盖--是正确的。

下面是模块编辑页面的截图。

Answer 2

在您的例子中，You need to create an official release, for at least 1 version of Drupal core that is supported.用于D7，类似于模块的7.x-1.0版本。在此之后不久，您的模块将拥有安全防护。

如果需要，可以查看条件规则模块等模块，该模块用于超过11K的Drupal 7站点。它的项目页面上也显示了相同的消息。

Drupal核心标准

• “只有完整的版本才能获得安全保护”(如所接受的答案中所示)：看看支持售票系统模块，它确实为D6提供了一个完整的版本(不再支持)。但它也没有安全盾牌。
• 如果一个模块至少有一个支持的Drupal核心版本的官方版本(例如:对于D7)，那么通过为另一个支持的Drupal核心版本(例如: D8)添加一个dev、alfa、beta或rc版本(还没有官方版本)，就不会删除安全屏蔽。有关这方面的示例，请查看规则模块。但是，请注意，在本例中，D7版本有一个额外的(绿色)屏蔽，它的D8版本没有显示。

更多信息

有关这方面的更多细节，请参考以下问题：

• 在项目中添加安全咨询覆盖范围字段。
• 通过向维护人员发送电子邮件来鼓励安全覆盖。
• 将“Git经审查的用户”角色重命名为“选择进入安全小组覆盖范围”。。
• 将安全团队覆盖范围从每个项目转移到每个分支。。
• 安全咨询覆盖信息草案。

如何创建正式发布版

转到您的https://www.drupal.org/project/myproject/git-instructions (而您用模块名替换myproject )。在它的底部附近，您将找到有关创建发布的详细说明。更具体地说，您应该执行标记中提到的内容，以获得稳定的版本，如下所示：

git签出7.x-1.x git标记7.x-1.0git推送源标记7.x-1.0一旦您按下了正确的标记或分支，请参阅创建项目发行版获得实际创建发布节点的说明。

奖金贴士

• 如果你还没有准备好创建一个正式的发布版本，你可以在你的项目页面上添加一些注释，比如"Note: as the module maintainer, I'm not aware of any publicly disclosed vulnerabilities“。
• 海事组织"Use it at your own risk!“不仅适用于未显示安全屏蔽的贡献模块。

相关文章

提供模块的Drupal安全盾牌，这意味着什么？ (学分：齐勒万)