Drupal.org上の新しいモジュールのセキュリティシールドが削除されたのはなぜですか?
私は最近、Sandbox->Project Application->Module Publishのプロセス全体に従って、 drupal.org にモジュールを作成することに成功しました。
しかし、数週間後、モジュールがセキュリティシールドを失い、代わりに次のメッセージが表示されます。
このプロジェクトは、セキュリティ勧告ポリシーの対象ではありません。公開された脆弱性がある可能性があります。自己責任!
いくつかのドキュメント( セキュリティアドバイザリプロセスと権限ポリシー )を調べましたが、適切な説明が見つかりませんでした。
これが今の様子のスクリーンショットです。
私の質問:
- モジュールにこのメッセージのタグが付けられているのはなぜですか?
- どうすれば解決できますか?または、モジュールの何が問題なのかを見つけるにはどうすればよいですか?
完全リリースのみがセキュリティシールドを取得します。スクリーンショットには、開発バージョンのみが表示されています。完全なリリースがないため、そもそもシールドがなかったので、シールドがモジュールから削除されたとは思いません。
セキュリティシールドを取得するには、フルバージョン(接尾辞が-dev、-alphaまたは-betaでないバージョン)をリリースする必要があります。
**編集**
完全なリリースを作成することに加えて、追加の手順を実行する必要があることを発見しました。最近まで、モジュールが完全リリースされた場合、モジュールは自動的にセキュリティ勧告を受け取りました。ただし、取得したモジュールをRCからフルリリースに昇格させただけで、セキュリティアドバイザリを受け取りませんでした。モジュールページの編集には、モジュールメンテナーがセキュリティアドバイザリにオプトインすることを要求するオプションがあります。
そうしたとしても、私のモジュールにはまだ助言シールドがありません。そのため、受け取る前に、セキュリティチームによるレビューを受けていると思います。この問題はその仮定をサポートするようです: https://www.drupal.org/node/2666584
---編集2 ----
それは彼らがシステムのバグだったことがわかります。私はすでにサンドボックスではなくdrupal.orgにモジュールを昇格させることができます。既存のモジュールでは、D7-> D8からアップグレードすると、フルバージョンをリリースしたときにモジュールに自動的にシールドが与えられました。ただし、上記のモジュールにはD7バージョンがなく、フルリリースに昇格したときにシールドを受け取りませんでした。承認を2週間待った後、私はようやくセキュリティチームに連絡しました。彼らはそれを調べて、キャッシュシステムのバグを見つけ、修正しました。
したがって、私が提供した元の情報-完全版をリリースする必要があるだけで、セキュリティアドバイザリの適用を選択したことは正しいようです。
これはモジュール編集ページのスクリーンショットです。 
You need to create an official release, for at least 1 version of Drupal core that is supported.あなたの場合、7.x-1.0バージョンのようなD7の場合モジュールの。その直後、モジュールにはセキュリティシールドが適用されます。
必要に応じて、 Conditional Rules などのモジュールをご覧ください。11,000以上のサイトで使用されていますDrupal 7サイト。これには、プロジェクトページにも同じメッセージが表示されます。
Drupalのコア基準
- "完全なリリースのみがセキュリティシールドを取得します"(承認された回答のように)いくつかの改良が必要な場合があります: Supportチケットシステムを見てください モジュール。D6の完全なリリースがあります(サポートされなくなりました)。ただし、セキュリティシールドもありません。
- モジュールに、サポートされているDrupalコアバージョンの少なくとも1つのバージョンの正式リリースがある場合(例:D7の場合)、セキュリティシールドは、dev、alfa、サポートされている別のDrupalコアバージョンのベータ版またはrcバージョン(まだ公式リリースはありません)。例:D8用。このサンプルについては、 Rules モジュール。ただし、この場合、D7バージョンには追加の(緑の)シールドがあり、D8バージョンには表示されないことに注意してください。
より詳しい情報
これの詳細については、次の問題を参照してください。
- プロジェクトにセキュリティアドバイザリカバレッジフィールドを追加 。
- メンテナに電子メールを送信してセキュリティカバレッジを促進する 。
- 「Git検証済みユーザー」ロールの名前を「セキュリティチームカバレッジにオプトイン」 に変更します。
- プロジェクトごとからブランチごとにセキュリティチームのカバレッジを移動します 。
- セキュリティ勧告のカバレッジメッセージのドラフトテキスト 。
公式リリースを作成する方法
https://www.drupal.org/project/myproject/git-instructionsに向かいます(myprojectをモジュール名に置き換えます)。その下部に、リリースの作成に関する詳細な説明があります。より具体的には、安定したリリースのタグで言及されていることを行う必要があります。
git checkout 7.x-1.x
git tag 7.x-1.0
gitプッシュOriginタグ7.x-1.0
適切に形成されたタグまたはブランチをプッシュしたら、実際にリリースノードを作成する方法について、 プロジェクトリリースの作成 を参照してください。
ボーナスのヒント
- 公式リリースを作成する準備ができていない場合は、「
Note: as the module maintainer, I'm not aware of any publicly disclosed vulnerabilities"。 - IMO "
Use it at your own risk!"は、セキュリティシールドが適用されているコントリビュートされたモジュールにのみ適用されます表示されていません。
関連記事
提供されたモジュールのDrupalセキュリティシールド、それの意味 (クレジット: zhilevan )