近日,WordPress宣布启动全新安全计划“Protect The Shire(守护夏尔)”,旨在借助AI技术与WordPress.org平台能力,进一步提升官方插件和主题生态的整体安全性。目前,WordPress官方目录已收录超过7.8万个插件和主题,累计安装量超过4亿次。
随着AI技术快速发展,软件开发效率获得显著提升,但与此同时,供应链攻击、恶意代码注入等安全风险也在持续增加。WordPress认为,未来的软件安全不仅取决于漏洞修复速度,更取决于更新本身是否安全可信。
1、插件和主题更新将增加24小时缓冲期
作为“Protect The Shire”计划的一部分,WordPress宣布对官方目录中的插件和主题更新机制进行调整。
未来,开发者发布的新版本插件或主题,在进入自动更新系统前将最多等待24小时。这段时间将用于执行额外的安全审查,包括利用AI工具分析代码变更、检测潜在风险以及识别异常行为。
WordPress表示,此举主要是为了应对近年来频繁出现的供应链攻击事件。例如 npm、PyPI、GitHub 等开源生态均曾遭遇恶意软件投毒事件,而WordPress自身此前也经历过“Essential Plugins”事件——部分插件在所有权转让后被发现存在恶意行为风险。
官方认为,在当前AI技术高速发展的背景下,需要在“快速更新”和“安全更新”之间取得新的平衡。
2、AI将成为安全审核的重要力量
WordPress透露,过去许多安全工作主要依赖人工审核团队完成,而随着AI能力的提升,大规模代码审查已变得更加可行。
目前,WordPress插件仓库每天产生数千次代码提交,仅依靠人工审核难以实现全面覆盖。未来,AI审核系统将与人工团队协同工作,对插件和主题更新进行更深层次的安全检查。
WordPress甚至为这一AI审核助手赋予了一个新的形象——“Gandalf(甘道夫)”,寓意其将成为守护生态安全的重要角色。
官方预计,随着审核流程不断完善,目前最长24小时的审核窗口未来有望缩短至数分钟。
3、为超过4亿次安装构建更安全的生态
尽管WordPress插件生态长期以来因安全漏洞问题受到关注,但官方表示,这并不意味着无法实现与WordPress核心程序同等级别的安全标准。
数据显示,WordPress官方插件目录目前拥有超过7.8万个扩展项目,其中许多由独立开发者维护,部分插件安装量甚至超过百万级别。
WordPress希望借鉴现代开源社区的优秀实践,将更先进的安全机制和审核能力普及到每一位开发者,而不仅仅局限于大型企业团队。
4、开源与安全并不矛盾
在公告中,WordPress再次强调了开源社区的核心理念:安全并非来自封闭,而是来自透明。
官方认为,开放协作、社区共建以及持续审查,才是构建安全软件生态的长期解决方案。随着WordPress生态规模不断扩大,挑战也会越来越多,但通过社区力量与技术创新,这些问题终将被逐步解决。
WordPress表示,“Protect The Shire”只是整个安全升级计划的开始,未来还将公布更多相关措施,进一步提升WordPress生态的安全性和可信度。
分类:新闻资讯