Magento Open Source 2.4.0 introduce il supporto per PHP 7.4, Elasticsearch 7.6.xe MySQL 8.0. Le modifiche sostanziali alla sicurezza includono l'abilitazione dell'autenticazione a due fattori nell'amministratore per impostazione predefinita.

Con questa versione, le integrazioni dei metodi di pagamento Authorize.Net e Braintree sono state rimosse dal codice principale. I commercianti dovrebbero migrare alle estensioni ufficiali disponibili sul mercato Magento.

Questa versione include tutti i miglioramenti alla qualità di base inclusi in Magento 2.3.5-p1, oltre 100 nuove correzioni al codice di base e 30 miglioramenti della sicurezza. Include la risoluzione di 226 problemi di GitHub da parte dei membri della nostra comunità. Questi contributi della comunità vanno da una minore pulizia del codice principale a miglioramenti significativi nella gestione dell'inventario e GraphQL.

Patch disponibile solo per la sicurezza

I commercianti possono ora installare correzioni di sicurezza sensibili al tempo senza applicare le centinaia di correzioni e miglioramenti funzionali forniti da una versione trimestrale completa (ad esempio, Magento 2.3.5-p2). La patch 2.3.5.2 (pacchetto Composer 2.3.5-p2) è una patch di sola sicurezza che fornisce correzioni per le vulnerabilità che sono state identificate nella nostra precedente versione trimestrale, Magento 2.3.5-p1. Tutti gli hot fix applicati alla versione 2.3.5 sono inclusi in questa patch di sola sicurezza. (Una correzione rapida fornisce una correzione a una versione rilasciata di Magento che risolve un problema o un bug specifico.)

Le patch solo per la sicurezza includono solo correzioni di bug di sicurezza, non i miglioramenti di sicurezza aggiuntivi inclusi nella patch completa.

Notevoli miglioramenti della sicurezza

Questa versione include oltre 30 correzioni di sicurezza e miglioramenti della sicurezza della piattaforma.

Oltre 30 miglioramenti della sicurezza che aiutano a chiudere le vulnerabilità di esecuzione di codice in modalità remota (RCE) e cross-site scripting (XSS).

Ad oggi non si sono verificati attacchi confermati relativi a questi problemi. Tuttavia, alcune vulnerabilità possono essere potenzialmente sfruttate per accedere alle informazioni sui clienti o assumere il controllo delle sessioni dell'amministratore. La maggior parte di questi problemi richiede che un utente malintenzionato ottenga prima l'accesso all'amministratore. Di conseguenza, ti ricordiamo di adottare tutte le misure necessarie per proteggere il tuo amministratore, inclusi ma non limitati a questi sforzi: elenco di indirizzi IP, autenticazione a due fattori, utilizzo di una VPN, utilizzo di una posizione univoca anziché / admin e buona password. 

Ulteriori miglioramenti della sicurezza

Implementazione di 2FA per account Admin, account utente Magento.com e accesso Cloud SSH

Proteggere il tuo account amministratore Magento. L'autenticazione a due fattori (2FA) è ora richiesta per l'amministratore Magento. Gli utenti amministratori devono prima configurare il loro 2FA prima di accedere all'amministratore tramite l'interfaccia utente o un'API web. 2FA è abilitato per impostazione predefinita. Si sconsiglia vivamente di disabilitare il modulo 2FA. Questo passaggio aggiuntivo dell'autenticazione rende più difficile per gli utenti malintenzionati accedere all'amministratore senza autorizzazione. 

Protezione del tuo account Magento. L'autenticazione a due fattori (2FA) fornisce un ulteriore livello di sicurezza opzionale per proteggere meglio il tuo account da utenti non autorizzati che potrebbero voler utilizzare il tuo account in modi che non desideri. 

Supporto per il nuovo file security.txt. Questo file è un file standard del settore sul server che consente ai ricercatori di sicurezza di segnalare potenziali problemi di sicurezza agli amministratori del sito.

Aggiornamenti della piattaforma

I seguenti aggiornamenti della piattaforma aiutano a migliorare la sicurezza e le prestazioni del sito web. Le versioni supportate di PHP e PHPUnit, Elasticsearch, MySQL e altre dipendenze sono elencate nei requisiti dello stack tecnologico Magento 2.4.

  • Supporto PHP 7.4 introdotto e PHP 7.1 e 7.2 deprecati. Magento 2.4.0 introduce il supporto per PHP 7.4.
  • Supporto per PHPUnit 9.xe deprecazione di PHPUnit 6.5. PHP 7.4 richiede l'uso del più recente framework di test PHPUnit, che è PHPUnit 9.x. I fornitori di estensioni di Magento Marketplace devono confermare che tutte le nuove versioni di estensioni sono compatibili con PHP 7.4 e che tutti i test di unità e integrazione sono stati configurati per essere eseguiti con PHPUnit 9.
  • Supporto per Elasticsearch 7.6.x. Elasticsearch 7.6.x è ora il motore di ricerca del catalogo predefinito per Magento Commerce e Open Source. Non puoi installare o aggiornare a Magento 2.4.0 senza installare anche Elasticsearch 7.6.x. Il codice della versione 2.x di Elasticsearch è stato rimosso. Le versioni 5.xe 6.x di Elasticsearch sono state deprecate e non sono più supportate.
  • Supporto per MySQL 8.0. Magento 2.4.x supporta MySQL 8.x. (Magento 2.4.0 è stato testato con MySQL 8.0.20.) I commercianti sono incoraggiati a migrare le loro distribuzioni a MySQL 8.x per trarre vantaggio dalle sue prestazioni, sicurezza e affidabilità migliorate. Sebbene MySQL 5.7 sia ancora supportato per Magento 2.4.x, MySQL 5.6 non è più supportato. Non puoi ospitare Magento 2.4.x con un database MySQL 5.6. Vedi MySQL.
  • Rimozione del motore di ricerca del catalogo MySQL. Il motore di ricerca MySQL è stato rimosso da Magento 2.4.0 e sostituito come motore di ricerca predefinito con Elasticsearch. Elasticsearch fornisce capacità di ricerca superiori e ottimizzazioni delle prestazioni del catalogo. Tutti i commercianti devono avere Elasticsearch per installare e distribuire Magento 2.4.0.
  • Supporto per MariaDB 10.4. Il supporto per MySQL 8.0 offre ai commercianti l'opportunità di distribuire MariaDB 10.4 con Magento. Sebbene i commercianti possano ancora utilizzare MariaDB 10.2 con Magento 2.4.0, consigliamo di eseguire l'aggiornamento a MariaDB 10.4 per migliorare le prestazioni e l'affidabilità. MariaDB 10.0 e 10.1 non sono più supportati (a causa della rimozione del supporto per MySQL 5.6 in questa versione).
  • Migrazione delle dipendenze da Zend Framework al progetto Laminas per riflettere la transizione di Zend Framework al progetto Laminas della Linux Foundation. Zend Framework è stato deprecato. Vedere la migrazione di Zend Framework al post DevBlog del progetto Laminas.
  • La decomposizione dei controller Magento consente agli sviluppatori di estensioni di implementare ActionInterface direttamente senza classi di "supertipo di livello". Vedere il post DevBlog sulla decomposizione dei controller Magento. Miglioramento iniziato da Vinai Kopp nella richiesta pull 16268 e finalizzato da Lukasz Bajsarowicz nella richiesta pull 26778. GitHub-9582
  • Rimozione dell'integrazione principale del codice di protezione dalle frodi Signifyd. Questa funzionalità principale non è più supportata. I commercianti dovrebbero migrare all'estensione Signifyd Fraud & Chargeback Protection disponibile sul mercato Magento.
  • Il modulo principale Braintree è stato rimosso dalla base del codice. Il modulo Braintree Payments ora fornisce lo stesso set di funzionalità. Vedi Braintree Payments.
  • Il browser Internet Explorer 11.x non è più supportato.

Miglioramenti dell'infrastruttura

Questa versione contiene miglioramenti alla qualità di base, che migliorano la qualità del Framework e di questi moduli: account cliente, catalogo, CMS, importazione, carrello e checkout e B2B.

Questa versione include centinaia di miglioramente e di stravolgimenti del codice che porteranno una ventata di fresche novità non solo agli esercenti ma anche agli staff tecnici che dovranno aggiornarsi sempre di più con le ultime tecnologie messe a disposizione della comunità di Magento. 

Se si desidera la lista completa di tutte le migliorie, basta far click su https://devdocs.magento.com/guides/v2.4/release-notes/release-notes-2-4-0-open-source.html