Riesgos de permanecer en Drupal 7 después del fin de su vida útil
El final de la vida útil de Drupal 7 está programado para el 1 de noviembre de 2023. Hasta entonces, el equipo de seguridad de Drupal continuará proporcionando parches para el núcleo de Drupal 7 y los proyectos contribuidos en caso de que surjan amenazas de seguridad. Sin embargo, después de ese punto, el equipo de seguridad de Drupal ya no admitirá Drupal 7.
¿Es seguro permanecer en Drupal 7?
Si su organización actualmente ejecuta Drupal 7, se enfrenta a la decisión de actualizar a Drupal 9.
La elaboración de un plan comercial puede ayudar con su decisión porque contiene proyecciones de costos iniciales y costos continuos para realizar la inversión de actualización, así como proyecciones de ingresos y ahorros. El ejercicio de caso de negocios puede pronosticar aún más el punto de equilibrio para su inversión en actualización. Sin embargo, en el caso de futuras amenazas a la seguridad, no podemos estar seguros de cuáles serán los costos continuos futuros, porque no podemos predecir cuándo surgirán tales amenazas a la seguridad, ni sabremos su gravedad.
Sin embargo, lo que se puede hacer es concienciar a las organizaciones que usan Drupal de los riesgos de no actualizar. Hay tres áreas generales de riesgo: seguridad, integraciones y funcionalidad.
Riesgos de seguridad
Una vez que Drupal 7 llega al final de su vida útil, siempre que se identifiquen problemas de seguridad en los módulos principales o contribuidos, no habrá mucho soporte para solucionarlos. Los encargados del mantenimiento del sitio podrían verse en la posición de tener que pasar mucho tiempo buscando agujeros de seguridad y reparándolos. Este riesgo se agrava si hay muchos módulos contribuidos en su configuración de Drupal.
Habrá algunas agencias que ofrecerán el servicio de mantenimiento de su plataforma Drupal 7 después del final de la vida útil. Esto será de gran ayuda para asegurar su sitio si está dispuesto a invertir en la contratación de una agencia de este tipo. Una de sus tareas principales es hacer backport de arreglos para problemas centrales y contribuir. Estas correcciones, por supuesto, no se incluirán en la ruta de actualización de D7 porque no habrá una ruta de actualización en absoluto. Como punto de referencia, después de que Drupal 6 llegó al final de su vida útil, no hubo una cantidad desproporcionada de correcciones de seguridad necesarias para su núcleo ni para los módulos aportados. Aún así, el riesgo no es cero. Se deben considerar todos los aspectos de una aplicación Drupal para garantizar que no haya brechas de seguridad.
Otro aspecto de tomar este camino es que gran parte del tiempo en el mantenimiento de un sitio como este se dedica a administrar y mitigar los riesgos de seguridad en lugar de realizar mejoras o implementar nuevas funciones. Para muchos desarrolladores, este no es un trabajo gratificante.
En la historia de las correcciones de seguridad anteriores de Drupal, algunas han sido bastante pequeñas (cambios de una línea que tardan una hora en revisarse y corregirse) mientras que otras han llevado días o incluso semanas de tiempo de desarrollo para analizar y producir una solución.
Una ventaja de elegir actualizar un sitio de Drupal 7 a Drupal 9 es que obtiene todas las ventajas de las mejoras de seguridad que se incluyeron en Drupal 8 y cada actualización de funciones posterior. En esta publicación de blog , Peter Wolanin de Acquia detalla algunas mejoras de seguridad significativas incluidas en la versión inicial de Drupal 8. Drupal 9 tiene ventajas adicionales como soporte para PHP 8.0 .
Riesgos de integración
Ciertamente, surgirán riesgos de seguridad, pero otra área de riesgo para mantener el status quo es que las integraciones clave eventualmente comenzarán a fallar. Por ejemplo, su entorno Drupal puede estar integrado con otra plataforma, y una API clave en esa plataforma está quedando obsoleta. Debido a que el módulo de Drupal que se conecta a él ya no se mantiene activamente, usted (o una agencia que contrate) tendrá que actualizar el módulo o escribir un nuevo módulo personalizado para que la integración siga funcionando.
Riesgos de funcionalidad
A medida que la comunidad de Drupal continúa disminuyendo la cantidad de actividad en el núcleo de Drupal 7 y los módulos contribuidos, especialmente después del final de su vida útil, básicamente pierde esas actualizaciones "gratuitas". Esto es especialmente cierto con las correcciones de errores. Esto te obliga a vivir con ellos o arreglarlos, o nuevamente, contratar a una agencia para que lo haga. Si contrata a alguien, esa persona no estará tan familiarizada con el proyecto como lo estaría uno de los mantenedores, por lo que tendría que tener en cuenta esa inversión adicional. De hecho, algunos de estos riesgos pueden ser tan críticos que terminará reescribiendo grandes trozos de código para lidiar con ellos.
No solo se pierden las mejoras de seguridad de Drupal 8/9 mencionadas anteriormente, sino que no actualizar significa que se está perdiendo muchas otras mejoras. Drupal 8 y 9 están construidos alrededor de una pila PHP moderna que incluye características como compatibilidad con Composer, componentes Symfony, técnicas modernas de codificación OOP y más. Si bien Drupal 7 ha servido bien a nuestra comunidad, no se basa en las últimas bibliotecas PHP y flujos de trabajo de desarrollo que esperan los desarrolladores. Esto permite a los propietarios de sitios Drupal 8/9 + la ventaja de mejorar aún más su postura de seguridad al agregar la distribución o el módulo de seguridad Guardr . Si bien Drupal 8 y 9 tienen buenas características de seguridad, Guardr agrega módulos y configuraciones adicionales aprobados por la comunidad que cumplen con los requisitos de seguridad de la industria.
Contáctanos
Sin embargo, nosotros podemos desarrollar un plan para su solución Drupal 7 existente. Tendremos en cuenta la cantidad de módulos que está utilizando, su complejidad, la naturaleza de sus integraciones con sistemas externos y más. Por favor contáctenos para obtener más información.
Tomado y traducido de: https://www.mediacurrent.com/blog/risks-staying-drupal-7-after-its-end-life/