私は最近、Sandbox->Project Application->Module Publish
のプロセス全体に従って、 drupal.org にモジュールを作成することに成功しました。
しかし、数週間後、モジュールがセキュリティシールドを失い、代わりに次のメッセージが表示されます。
このプロジェクトは、セキュリティ勧告ポリシーの対象ではありません。公開された脆弱性がある可能性があります。自己責任!
いくつかのドキュメント( セキュリティアドバイザリプロセスと権限ポリシー )を調べましたが、適切な説明が見つかりませんでした。
これが今の様子のスクリーンショットです。
私の質問:
完全リリースのみがセキュリティシールドを取得します。スクリーンショットには、開発バージョンのみが表示されています。完全なリリースがないため、そもそもシールドがなかったので、シールドがモジュールから削除されたとは思いません。
セキュリティシールドを取得するには、フルバージョン(接尾辞が-dev、-alphaまたは-betaでないバージョン)をリリースする必要があります。
**編集**
完全なリリースを作成することに加えて、追加の手順を実行する必要があることを発見しました。最近まで、モジュールが完全リリースされた場合、モジュールは自動的にセキュリティ勧告を受け取りました。ただし、取得したモジュールをRCからフルリリースに昇格させただけで、セキュリティアドバイザリを受け取りませんでした。モジュールページの編集には、モジュールメンテナーがセキュリティアドバイザリにオプトインすることを要求するオプションがあります。
そうしたとしても、私のモジュールにはまだ助言シールドがありません。そのため、受け取る前に、セキュリティチームによるレビューを受けていると思います。この問題はその仮定をサポートするようです: https://www.drupal.org/node/2666584
---編集2 ----
それは彼らがシステムのバグだったことがわかります。私はすでにサンドボックスではなくdrupal.orgにモジュールを昇格させることができます。既存のモジュールでは、D7-> D8からアップグレードすると、フルバージョンをリリースしたときにモジュールに自動的にシールドが与えられました。ただし、上記のモジュールにはD7バージョンがなく、フルリリースに昇格したときにシールドを受け取りませんでした。承認を2週間待った後、私はようやくセキュリティチームに連絡しました。彼らはそれを調べて、キャッシュシステムのバグを見つけ、修正しました。
したがって、私が提供した元の情報-完全版をリリースする必要があるだけで、セキュリティアドバイザリの適用を選択したことは正しいようです。
You need to create an official release, for at least 1 version of Drupal core that is supported.
あなたの場合、7.x-1.0バージョンのようなD7の場合モジュールの。その直後、モジュールにはセキュリティシールドが適用されます。
必要に応じて、 Conditional Rules などのモジュールをご覧ください。11,000以上のサイトで使用されていますDrupal 7サイト。これには、プロジェクトページにも同じメッセージが表示されます。
これの詳細については、次の問題を参照してください。
https://www.drupal.org/project/myproject/git-instructions
に向かいます(myproject
をモジュール名に置き換えます)。その下部に、リリースの作成に関する詳細な説明があります。より具体的には、安定したリリースのタグで言及されていることを行う必要があります。
git checkout 7.x-1.x
git tag 7.x-1.0
gitプッシュOriginタグ7.x-1.0
適切に形成されたタグまたはブランチをプッシュしたら、実際にリリースノードを作成する方法について、 プロジェクトリリースの作成 を参照してください。
Note: as the module maintainer, I'm not aware of any publicly disclosed vulnerabilities
"。Use it at your own risk!
"は、セキュリティシールドが適用されているコントリビュートされたモジュールにのみ適用されます表示されていません。提供されたモジュールのDrupalセキュリティシールド、それの意味 (クレジット: zhilevan )