Magento Updates: Unsere Empfehlungen

Mit der Veröffentlichung von Magento 2 im Jahr 2015 wurde Entwicklern und Händlern nicht nur eine völlig neue Codebasis vorgestellt, sondern auch eine neue Art der Zusammenarbeit mit Magento, von strengen Richtlinien für den Zugang zum Magento-Marktplatz für Entwickler von Erweiterungen bis hin zur Arbeit mit Versionsupdates anstelle von reinen Sicherheitspatches für Systemintegratoren. Letzteres wurde von der Magento-Community häufig kommentiert, wobei behauptet wurde, dass Magento 2-Shops anfälliger seien als Magento 1-Shops, und der Ruf nach reinen Sicherheitspatches wurde mit der Zeit immer lauter.

Mit der Veröffentlichung von Magento 2.3.3 am 8. Oktober 2019 reagierte Magento auf diesen Bedarf mit der Einführung reiner Sicherheitspatches für Magento 2. Wurde dadurch die Sicherheit von Magento 2-Shops verbessert, oder sind Händler (und ihre Kunden) weiterhin gefährdet? Sieht die Community Sicherheit als eine kostspielige Notwendigkeit oder als eher unterlegen im Vergleich zu coolen neuen Funktionen?

Unsere E-Commerce-Spezialisten haben einen genaueren Blick auf dieses Thema geworfen, um Ihnen einen praktischen Überblick zu verschaffen.

Die Magento Release Policy unterscheidet folgende Vorgehensweisen: MAJOR (der grosse Versionssprung im 2015), MINOR (grössere Update ca. einmal pro Jahr), PATCH (nur sinnvoll bei Bedarf), SECURITY (absolut empfehlenswert) und weitere (z.B. Hotfix). Schauen wir uns da mal etwas genauer an.

Magento sagt zu diesen Veröffentlichungen:

• Empfohlen einmal im Jahr
• Brechende Änderungen sind möglich
• Modulversionen können variieren
• MINOR-Releases können neue Funktionen enthalten, die während des Upgrades zusätzliche Arbeit von Partnern erfordern können, um die Kompatibilität zu gewährleisten
• MINOR-Releases können Korrekturen für Sicherheits- und Konformitätsprobleme enthalten

Unsere Einschätzung dazu:

• «Minor» sind eigentlich «grosse» Releases
• Zu vergleichen mit einem Wechsel von Windows 7 zu Windows 10
• Neue MINOR-Versionen über vorherige MINOR-Versionen installieren ist möglich
• Aber eine Neuinstallation empfehlenswert
• Extension-Updates sind notwendig
• Einige Anpassungen und Tests sind ebenfalls notwendig.

Magento sagt dazu:

• Werden jedes Quartal veröffentlicht
• Neuere Versionen enthalten voll funktionsfähige Korrekturen und Verbesserungen
• Änderungen, die Erweiterungen oder Code-Kompatibilität beeinträchtigen könnten, werden vermieden
• In Ausnahmefällen können fehlerhafte Änderungen oder zusätzliche Patches oder Hotfixes veröffentlicht werden.
• PATCHES können neue Funktionen enthalten, solange nicht erwartet wird, dass sie Code brechen

Wir sind der Meinung:

• Nicht unbedingt notwendig, wenn die darin enthaltenen Funktionsverbesserungen bzw. Fehlerbehebungen nicht benötigt werden
• Theoretisch sollten breaking changes selten sein
• Dennoch gab es diese bereits und es ist nicht sichergestellt, dass es nicht auch Inkompatibilitäten zu installierten Drittanbieter-Extensions und Individualanpassungen gibt.

Magento sagt dazu:

• Sicherheitsversionen bieten Korrekturen für Schwachstellen, die in früheren vierteljährlichen Patch-Veröffentlichungen identifiziert wurden
• Sie können zeitkritische Sicherheitskorrekturen installieren, ohne die Hunderte von funktionalen Korrekturen und Verbesserungen anzuwenden, die eine vollständige vierteljährliche Patch-Version enthält
• Diese Versionen können auch Hotfixes enthalten
• NEU: Separate Hotfixes2

Unsere Einschätzung:

• Sie sind quasi «notwendig»
• Sollten relativ einfach zu installieren sein
• Allerdings scheint das nicht immer zuzutreffen - Komplikationen möglich
• Generell sollten SECURITY-Updates zeitnah eingespielt werden
• Nur innerhalb derselben MINOR-Version sinnvoll/möglich.

Im Prinzip lassen sich nur schwer Voraussagen treffen, denn Magento hat bisher immer wieder seine Pläne geändert. Das zeigt sich in der Lebensdauer der bisher veröffentlichten MINOR-Versionen. Es gibt bis dato keine langfristige Strategie, die über viele Jahre hinweg gleich geblieben ist. Daher gilt nach wie vor die Einstellung: «Änderungen vorbehalten». Gemäss Magento sollten jedoch die aktuellen Strategieanpassungen zu mehr Planungs- und Investitionssicherheit führen.

Die oben genannten Aussagen gelten primär für Magento Core. Da auch Extensions von Drittanbietern eingesetzt werden, sind durchaus abweichende Release Policies und Zyklen möglich. Sowohl Magento Core, als auch Extensions sollten gleichzeitig aktualisiert werden, ansonsten könnten Fehler durch Inkompatibilitäten entstehen. Als Vergleich hilft: Magento Core entspricht Windows und die Extensions entsprechen den Programmen für Windows.

«Keine Updates»-Strategie

Das Risiko steigt mit der Zeit seit dem letzten MINOR- / SECURITY-Update. Die Frage ist: Wie viel kostet es mich, wenn ich gehackt werde (was durchaus automatisiert passieren kann)

• Umsatzverlust durch Ausfallzeit
• Reputationsschaden (bei Kunden, bei Google, …)
• Allenfalls Schadenersatz

Andererseits kostet auch jedes (MINOR-)Update. Es besteht also wie immer eine Risiko-/Kosten-Abwägung. Vorerst aufschieben und dafür ein Budget einplanen ist durchaus möglich. Allenfalls ist zu prüfen, ob der Einsatz einer Web Application Firewall oder weitergehende Schutzmassnahmen zunächst günstiger sind und das Risiko minimieren können.

Immer sofort, wenn sie erscheinen? Oder erst später? Hier gilt es, den Release-Zyklus zu beachten: Gemäss Magento wird die letzte MINOR-Version noch maximal 18 Monate nach Veröffentlichung einer neuen MINOR-Version unterstützt und Magento plant, alle 12 Monate eine neue MINOR-Version zu veröffentlichen, Das bedeutet, die Lebensdauer einer MINOR-Version beträgt ca. 2.5 Jahre. Aber neue MINOR-Versionen können noch vermehrt Fehler enthalten. Es lohnt sich, den ersten PATCH «2.x.1» abzuwarten, statt gleich auf «2.x.0» zu setzen. Dann sollte man aber auch nicht mehr lange zögern, denn ansonsten steht in nicht allzu ferner Zukunft die nächste neue MINOR-Version an.