Linux 基金會推出了一項新計劃,名為 公平套件管理器(FPM) – 一項協作的開源努力,旨在提高 CMS 插件生態系統的安全性、穩定性和治理,例如 WordPress、Joomla、Drupal 和 Typo3。
什麼是 Fair 套件管理器?
公平包管理器 (FPM) 是一個分散的註冊和治理框架,旨在為 CMS 外掛程式和主題的管理和分發帶來更大的透明度和控制力。
簡單來說,它可以幫助開發人員、託管服務提供者和網站所有者更好地追蹤、管理和信任他們用於支援網站的軟體包。
為什麼這一點很重要
內容管理系統,例如 WordPress、Joomla 和 Drupal 讓數百萬個網站輕鬆地使用第三方外掛程式和主題擴充功能。然而,這種靈活性也伴隨著嚴重的風險,尤其是在以下情況: 軟件維護 以及 供應鏈安全.
許多流行的 CMS 外掛程式都是由個人貢獻者或小型團隊開發的。隨著時間的推移,其中一些插件會變得不再活躍、被忽視,甚至更糟:被惡意攻擊者出售或劫持。一旦被入侵,插件可以透過自動更新將惡意程式碼引入數千甚至數百萬個網站。這些攻擊通常不會被察覺,直到造成重大損失,包括資料外洩、SEO 垃圾郵件注入或網站完全被接管。
公平軟體包管理器透過引入新的治理模型來解決這些風險。它將插件的所有權與其控制權和分發權分離,使惡意行為者更難利用廢棄的項目。它還透過使用可驗證的憑證和透明的元資料增加了層層問責,幫助開發者和最終用戶了解插件的完整歷史記錄和當前的治理狀態。
對於網站所有者、開發者和託管服務提供者來說,這意味著更少的意外和更安全的插件生態系統。這是朝著修復當前插件管理碎片化方式邁出的積極一步,並為 CMS 社群、基礎設施提供者和最終用戶之間的更好協作奠定了基礎。
誰是該計畫的幕後推手?
FPM 是在 Linux 基金會的管理下開發的,並得到了多元化 CMS 利害關係人的支持:
- 干貝塔特 (Drupal 創始人)
- 馬特·馬倫維 (共同創辦人 WordPress (兼 Automattic 執行長)
- 開源很重要 (Joomla的支持組織)
- Typo3 協會
- 託管和 DevOps 提供者,例如 萬神殿(Pantheon), 網絡化, 平台.sh, 公民行動以及 Amazee.io
CMS 創辦人和基礎設施供應商的早期參與為該專案提供了廣泛採用的強大機會。
該專案如何幫助託管用戶
對於網站所有者和託管客戶來說,FPM 可以成為關鍵的安全層。與其盲目地信任外掛程式更新或依賴過時的儲存庫,不如選擇一個具有以下特點的框架:
- 防止惡意更新 和插件接管。
- 提高能見度 誰維護插件以及如何管理插件。
- 促進健康的插件生態系統 並共同承擔責任。
這可能會對 WordPress 用戶,其中許多用戶依賴官方儲存庫中的免費插件,但無法控制這些插件如何或何時傳輸或更新。
展望未來
Fair Package Manager 不僅限於 WordPress。它旨在支援多個 CMS 平台,並最終可能發展成為整個網路插件安全的社群驅動標準。
在開發人員和託管社群的早期支援下,FPM 可能會為開源最持久的風險之一提供早就應該提供的解決方案:不受管制的插件生命週期。
了解更多或參與,請訪問 Linux基金會公告頁面.
