Najlepszy sposób: przejrzeć log poprawek dla wersji 3.8.x i popatrzeć na wszystkie poprawki bezpieczeństwa albo na zgłoszenia JSST (Joomla Security Strike Team).
W ten sposób dowiesz się w której wersji jaka istniała luka/wrażliwość a porównawszy patche dowiesz się jak to załatano co może przydać się w zaprojektowaniu rozszerzenia.