Equipe de desempenho do WordPress propõe desenvolver uma nova ferramenta de verificação de plug-ins – WP Tavern

A equipe de desempenho do WordPress está lançando uma proposta para desenvolver uma ferramenta de verificação de plug-ins semelhante ao plug-in de verificação de temas, que garante que os temas atendam aos padrões e práticas recomendadas mais recentes.

Em 2021, a equipe Meta do WordPress construiu um scanner de código que detecta possíveis riscos de segurança, como consultas SQL sem escape no código do plug-in, com o objetivo de reduzir a carga da equipe de plug-ins por meio da automação. Essa ferramenta específica não foi desenvolvida para incentivar as melhores práticas, mas para garantir que os plug-ins que entram no diretório atendam aos padrões mínimos necessários para a segurança.

A equipe de desempenho está propondo a criação de um tipo diferente de plug-in que sinalizaria qualquer violação dos requisitos de desenvolvimento de plug-in e sugeriria as melhores práticas com erros ou avisos.

“Deve abranger vários aspectos do desenvolvimento de plugins, desde requisitos básicos, como o uso correto de funções de internacionalização, até práticas recomendadas de acessibilidade, desempenho e segurança”, disse Felix Arntz, colaborador patrocinado pelo Google. Ele identificou três objetivos principais para o plugin:

  • Forneça aos desenvolvedores de plug-ins feedback sobre requisitos e práticas recomendadas durante o desenvolvimento.
  • Forneça à equipe de revisão de plug-ins do wordpress.org uma ferramenta automatizada adicional para identificar certos problemas ou pontos fracos em um plug-in antes de uma revisão manual.
  • Forneça aos proprietários de sites técnicos uma ferramenta para avaliar plug-ins com base nesses requisitos e práticas recomendadas.

A equipe de desempenho recomenda que o plug-in também funcione a partir da linha de comando (usando WP-CLI) e que vá além da análise de código estático para incluir verificações de tempo de execução que executam código.

A proposta recebeu feedback misto até agora. Vários participantes da discussão dão as boas-vindas ao desenvolvimento de tal ferramenta e estariam ansiosos para usá-la com seus próprios plugins. Outros estão preocupados com as verificações se tornando muito pesadas e impactando negativamente o ecossistema de plugins.

“Ter um plugin para automatizar essas verificações parece ótimo”, disse o desenvolvedor do WordPress Michael Nelson. “Eu me preocupo que, eventualmente, isso signifique que os desenvolvedores de autores de plugins WP também precisarão adotar o estilo de código do WP, o que seria muito irritante.”

O desenvolvedor do WordPress Josh Pollock comentou que ele compartilha essas preocupações e está preocupado sobre como esses padrões podem ser aplicados em plugins que não foram criados para suportar PHP5, usar o compositor para gerenciamento e automação de dependências e compartilhar código PHP com outros frameworks.

“Se isso AJUDAR os desenvolvedores de plugins, então tudo bem, mas se for usado como uma arma para insistir em padrões, então eu suspeito que será um prego no caixão do WP”, disse o desenvolvedor de plugins Robin W.

“Se você quer insistir em coisas que não são críticas de segurança, então a documentação atual está longe de ser útil para novatos.

“Agora, se a ferramenta reescreveu o código para o padrão, para que o desenvolvedor tenha um ‘esta é uma versão melhor’, então eu estaria a bordo.

“Mas um que apenas diz ‘você não está escapando do seu código corretamente’ e, em seguida, faz o desenvolvedor do plugin tentar encontrar o que e onde está errado, apenas gerará menos inovação.”

A equipe de desempenho está solicitando feedback da comunidade, principalmente dos desenvolvedores de plug-ins, revisores de plug-ins e da metaequipe. Se eles conseguirem chegar a um consenso, Arntz disse que o próximo passo é projetar a infraestrutura para o verificador de plugins em um repositório do GitHub.

“A equipe de desempenho ficaria empolgada em assumir a liderança deste projeto, mas é vital que colaboradores adicionais de outras equipes ajudem no desenvolvimento, especialmente quando se trata de definir e implementar as diferentes verificações”, disse Arntz.

“Este é certamente um projeto ambicioso, e não é a primeira vez que surge um verificador de plugins. Também precisa ser esclarecido que provavelmente levará alguns meses pelo menos para chegar a uma primeira versão. No entanto, estamos otimistas de que, com uma base sólida e colaboração desde o início, possamos criar uma ferramenta que atenda aos requisitos para verificações automatizadas confiáveis ​​de plugins.”

Deixe uma resposta