There\'s no mechanism for flagging an update from .org as being a security update or not. 更新只是更新,除了版本字符串之外,几乎没有其他元数据信息。更改日志可能会提到它,但这是假设更改日志是准确的,或者根本不存在。
一些插件可能遵循语义版本控制,在这种情况下,您可以使用语义版本控制来确定它是否是热修复,但除了手动白名单之外,无法在代码中分辨。
But even if there was a security update flag, using it to conditionally install updates would be a very bad idea.
安全修补程序可以并定期伪装为正常更新通过发布安全更新,您可以宣布存在安全漏洞,让黑客有机会通过修复程序对其进行反向工程,并利用尚未更新的用户进行攻击。因此,在用户基本安全的情况下,将修复程序偷偷带进来,然后在以后的日期对其进行记录是有意义的。
WP Core过去也做过这件事,通常会等一两天自动更新程序启动后再宣布。
因此,始终保持最新。如果您担心更新可能会破坏东西,那么您需要采用测试策略。这可以是对本地安装、临时环境、自动测试套件等的手动检查,也可以只是更新。使用适当的API和标准构建的大多数编写良好的代码在更新时都能正常工作
