Hintergrund
Mit der Veröffentlichung von Magento 2 im Jahr 2015 wurde Entwicklern und Händlern nicht nur eine völlig neue Codebasis vorgestellt, sondern auch eine neue Art der Zusammenarbeit mit Magento, von strengen Richtlinien für den Zugang zum Magento-Marktplatz für Entwickler von Erweiterungen bis hin zur Arbeit mit Versionsupdates anstelle von reinen Sicherheitspatches für Systemintegratoren. Letzteres wurde von der Magento-Community häufig kommentiert, wobei behauptet wurde, dass Magento 2-Shops anfälliger seien als Magento 1-Shops, und der Ruf nach reinen Sicherheitspatches wurde mit der Zeit immer lauter.
Mit der Veröffentlichung von Magento 2.3.3 am 8. Oktober 2019 reagierte Magento auf diesen Bedarf mit der Einführung reiner Sicherheitspatches für Magento 2. Wurde dadurch die Sicherheit von Magento 2-Shops verbessert, oder sind Händler (und ihre Kunden) weiterhin gefährdet? Sieht die Community Sicherheit als eine kostspielige Notwendigkeit oder als eher unterlegen im Vergleich zu coolen neuen Funktionen?
Unsere E-Commerce-Spezialisten haben einen genaueren Blick auf dieses Thema geworfen, um Ihnen einen praktischen Überblick zu verschaffen.
Die Magento Release Policy unterscheidet folgende Vorgehensweisen: MAJOR (der grosse Versionssprung im 2015), MINOR (grössere Update ca. einmal pro Jahr), PATCH (nur sinnvoll bei Bedarf), SECURITY (absolut empfehlenswert) und weitere (z.B. Hotfix). Schauen wir uns da mal etwas genauer an.
MINOR Releases
Magento sagt zu diesen Veröffentlichungen:
Unsere Einschätzung dazu:
PATCH Releases
Magento sagt dazu:
Wir sind der Meinung:
SECURITY Releases
Magento sagt dazu:
Unsere Einschätzung:
Wichtige Hinweise
Im Prinzip lassen sich nur schwer Voraussagen treffen, denn Magento hat bisher immer wieder seine Pläne geändert. Das zeigt sich in der Lebensdauer der bisher veröffentlichten MINOR-Versionen. Es gibt bis dato keine langfristige Strategie, die über viele Jahre hinweg gleich geblieben ist. Daher gilt nach wie vor die Einstellung: «Änderungen vorbehalten». Gemäss Magento sollten jedoch die aktuellen Strategieanpassungen zu mehr Planungs- und Investitionssicherheit führen.
Core vs. Extensions
Die oben genannten Aussagen gelten primär für Magento Core. Da auch Extensions von Drittanbietern eingesetzt werden, sind durchaus abweichende Release Policies und Zyklen möglich. Sowohl Magento Core, als auch Extensions sollten gleichzeitig aktualisiert werden, ansonsten könnten Fehler durch Inkompatibilitäten entstehen. Als Vergleich hilft: Magento Core entspricht Windows und die Extensions entsprechen den Programmen für Windows.
Update-Strategien
«Keine Updates»-Strategie
Das Risiko steigt mit der Zeit seit dem letzten MINOR- / SECURITY-Update. Die Frage ist: Wie viel kostet es mich, wenn ich gehackt werde (was durchaus automatisiert passieren kann)
Andererseits kostet auch jedes (MINOR-)Update. Es besteht also wie immer eine Risiko-/Kosten-Abwägung. Vorerst aufschieben und dafür ein Budget einplanen ist durchaus möglich. Allenfalls ist zu prüfen, ob der Einsatz einer Web Application Firewall oder weitergehende Schutzmassnahmen zunächst günstiger sind und das Risiko minimieren können.
MINOR-Updates ja, aber wann?
Immer sofort, wenn sie erscheinen? Oder erst später? Hier gilt es, den Release-Zyklus zu beachten: Gemäss Magento wird die letzte MINOR-Version noch maximal 18 Monate nach Veröffentlichung einer neuen MINOR-Version unterstützt und Magento plant, alle 12 Monate eine neue MINOR-Version zu veröffentlichen, Das bedeutet, die Lebensdauer einer MINOR-Version beträgt ca. 2.5 Jahre. Aber neue MINOR-Versionen können noch vermehrt Fehler enthalten. Es lohnt sich, den ersten PATCH «2.x.1» abzuwarten, statt gleich auf «2.x.0» zu setzen. Dann sollte man aber auch nicht mehr lange zögern, denn ansonsten steht in nicht allzu ferner Zukunft die nächste neue MINOR-Version an.
Was ist mit Extensions?
Bei MINOR-Updates müssen auch Extensions aktualisiert werden. Bei PATCH-Updates sollten sie ebenfalls aktualisiert werden. Bei SECURITY-Updates müssen sie in der Regel nicht aktualisiert werden. Aber hier gilt: Auch Extensions könnten Sicherheitslücken haben. Daher empfiehlt es sich, regelmässig die Changelogs aller installierten Extensions zu prüfen (oder prüfen zu lassen) und allfällige Extension-Security-Updates auch zu installieren (Risiko versus Aufwand ist je nach Extension unterschiedlich).
Fazit
Neu ist Magento auf einem guten Weg zu mehr Planungs- und Investitionssicherheit. MINOR-Updates (neue Funktionen, Breaking changes) sind sehr empfehlenswert, aber auch mit einigem Aufwand verbunden und müssen voraussichtlich alle 2.5 Jahre durchgeführt werden, am besten mit Erscheinen der 1. PATCH-Version einer neuen MINOR-Version. PATCH-Updates (Optimierungen, Bug fixes) sind optional und nur relevant, wenn die Änderungen für den eigenen Shop nützlich sind. SECURITY-Updates sind praktisch «notwendig» und im Normalfall mit deutlich weniger Aufwand verbunden (im Vergleich zu PATCH- und MINOR-Updates).
Als Teil der Magento-Entwickler-Community sind wir seit Jahren ganz nah am Puls und unterstützen Sie gerne bei der Einschätzung, ob Handlungsbedarf besteht, und nehmen für Sie auch die Umsetzung vor.