Sicherheitsupdates der Plugins

Hallo,

wie geht ihr mit Sicherheitsproblemen bei gemieteten Plugins um? Aktuell ist für mich nicht ersichtlich, welche Änderungen in den Changelogs sicherheitsrelevante Patches enthalten. Oder übersehe ich hier etwas?

Wie handhabt ihr das in der Praxis?

Verstehe die Frage nicht. Plugins wenn möglich immer zeitnah updaten und auf aktuellen Stand halten - sofern keine (neuen) groben Fehler enthalten sind, was in der Vergangenheit leider schon oft passiert ist.

Wobei die Changelogs manchmal wirklich „nichtssagend“ sind. Mit Angaben wie „verbessert die Stabilität“ kann keiner etwas anfangen.

Ich möchte aber erstmal nur die sicherheitsrelevanten Plugins aktualisieren.

Wenn das nicht explizit im Changelog steht, wird das schlecht dies zu beurteilen. Wenn man jedoch generell seine Plugins aktuell hällt, sollte sich die Frage gar nicht erst stellen.

Ja, das verstehe ich alles. Einige Plugins werden aber so geändert, dass Erweiterungen daran dann nicht mehr funktionieren. Da kommt dann unerwarteter Aufwand. Daher wollte ich es erstmal auf das Nötigste beschränken. Ist die Ansicht so verkehrt?

Die Sichtweise ist nicht verkehrt. „Alles sofort aktualisieren“ klingt sauber, ist in der Praxis aber nicht immer risikofrei, wenn Erweiterungen selbst wieder Abhängigkeiten oder kundenspezifische Anpassungen beeinflussen.

Ich würde das trennen:

  1. Sicherheitsfix klar erkennbar: zeitnah testen und bevorzugt einspielen.
  2. Unklarer Changelog wie „Stabilität verbessert“: erst in Staging prüfen, nicht blind im Live-Shop.
  3. Kritische Erweiterung mit vielen Anpassungen daran: Update-Fenster planen und vorher prüfen, welche Templates/Events/API-Stellen betroffen sind.
  4. Wenn Changelog nichts hergibt: beim Hersteller konkret nachfragen, ob sicherheitsrelevante Änderungen enthalten sind.

Praktisch hilft eine kleine Update-Matrix: Erweiterung, aktuelle Version, neue Version, Changelog, Risiko, Testbedarf, Entscheidung. Dann aktualisiert man nicht nach Gefühl, sondern priorisiert nach Risiko.

Punkt 1 war meine Frage im Eingangsbeitrag. Wie erkenne ich Sicherheitsfix?

Also Punkt 4 wird in der Parxis eher kaum aus zeitlichen Gründen gemacht.

Sicherheitsfix gibt es tendenziell eher in Shopware, da dort der komplexe Core liegt. Dafür gibt es ein Shopware Sicherheitsupdate Plugin (SwagSecurity oder so ähnlich).

Die einzelnen Plugin-Anbieter haben wohl eher kaum Kapazitäten Plugins nach Sicherheitsrisiken zu durchsuchen (persönliche Einschätzung). Ist ja nicht so, dass man diese einfach per Knopfdruck ermitteln kann. Folglich kenne ich persönlich auch kein einziges Plugin, was jemals ein Sicherheitsupdate herausgebracht habt.

Shopware prüft die Plugins bei der Einreichung hinsichtlich der Sicherheit. Eine 100% Garantie gibt es natürlich nie.