Gestern wurde auf der DrupalCon in Pittsburgh ein neues Datum für den End-of-Life-Termin (EOL) von Drupal 7 bekannt gegeben: der 5. Januar 2025. Und dieses Mal so wirklich, also final, so ganz ernst gemeint. Dann soll endgültig Schluss sein mit Drupal 7.
Der ständige Aufschub
Schon mehrfach wurde der EOL-Termin von Drupal 7 nach hinten verschoben. Zuerst, um den Unternehmen und Betreibern mehr für die Umstellung aufgrund der Covid Pandemie einzuräumen. Diese neue Frist (28. November 2022) wurde dann Anfang 2022 erneut verschoben. Die neue vorläufige Gnadenfrist sollte bis zum 1. November 2023 andauern, jedoch jährlich erneut evaluiert werden. Denn nach Ansicht der beteiligten Personen in der Drupal Association und Security Team gab es weiterhin ausreichend Unterstützung für Drupal 7 und noch immer haben eine große Anzahl an Websites diese Version weiterhin eingesetzt.
Nun soll mit dem ewigen Verschieben des Endes von Drupal 7 wirklich Schluss sein. Und ich muss sagen: ich finde es gut. Die ständigen Verschiebungen haben das Vertrauen und die Planungssicherheit regelmäßig untergraben. Der notwendige Druck bei Entscheidern, auf eine aktuelle Version von Drupal umzusteigen oder veraltete Projekte abzuschalten, ist dadurch regelmäßig verpufft.
Die Problematik der Zombie-Projekte
Ein Großteil der Projekte, die noch immer auf Drupal 7 basieren, sind seit Jahren nicht mehr weiterentwickelt oder modernisiert worden. Sie werden noch mit den notwendigsten Updates versorgt, aber ansonsten herrscht Stillstand. Bei mir selbst gibt es noch einige solche Kundenprojekte auf der Liste, die alle paar Wochen/Monate wieder angefasst werden, wenn das Security-Team ein neues Sicherheitsupdate veröffentlicht hat. Diese Websites bezeichne ich gerne als Zombie-Projekte.
Zudem ist es generell bei der Weiterentwicklung von Drupal 7 Modulen sehr ruhig geworden. In vielen Fällen werden nur noch die gröbsten Bugs (die es natürlich immer seltener gibt) und Sicherheitslücken behoben. Neue Funktionen oder Verbesserungen fließen nur in die modernen Versionen für Drupal 9/10 ein.
Weniger Entwickler, höhere Kosten
Diese Entwicklungen merke ich auch bei mir persönlich: Mein einst umfangreiches Wissen zu Drupal 7 verblasst zunehmend. Schließlich lag mein Fokus in den vergangenen Jahren hauptsächlich auf der Entwicklung von Drupal 8/9/10 Projekten. Wenn ich jetzt wieder an einem Drupal 7 Projekt arbeite(n muss), muss ich jedes Mal erst intensiv nachdenken. Zudem wird es auch immer schwieriger, im Internet die passenden Ressourcen für Drupal 7 zu finden. Oftmals landen sie in den Suchergebnissen erst auf Seite 5 oder noch weiter hinten. Dies macht die Arbeit mit Drupal 7 natürlich sehr zeitaufwendig.
Eine der unmittelbaren Folgen ist natürlich, dass es immer weniger Programmierer gibt, die überhaupt noch an einem Drupal 7 Projekt arbeiten können oder wollen. Dies führt dazu, dass die Kosten entsprechend steigen.
Verschärfte Sicherheitsrisiken
Dieses Mal wird der EOL Termin nicht nur nach hinten verschoben, sondern bereits ab August 2023 die Daumenschrauben für Drupal 7 Projekte etwas angezogen. So werden ab diesem Zeitpunkt wenig bis mittel kritische Sicherheitslücken nicht mehr im Hintergrund behoben und dann zeitgleich mit dem Fix publik gemacht, sondern direkt öffentlich gemacht. Dies bedeutet, dass entsprechende Sicherheitslücken bereits öffentlich werden, bevor diese behoben worden sind. Davon betroffen sind jedoch keine Sicherheitslücken mit schwerwiegenden Auswirkungen.
Zudem wird es ab diesem Zeitpunkt nicht mehr möglich sein, als unsupported markierte Drupal 7 Versionen von Modulen wieder zu aktivieren oder von einem neuen Maintainer betreuen zu lassen. Direkte Auswirkungen hat dies, wenn ein Maintainer nicht schnell genug auf eine Sicherheitslücke reagiert und das Drupal Security Team das Modul (bzw. Drupal 7 Release) in Folge als unsupported markiert. Dies ist dann nicht mehr rückgängig zu machen.
Im Ergebnis bedeutet dies, dass das Risiko besteht, dass eine steigende Anzahl von Drupal 7-Modulen als nicht mehr unterstützt gilt und somit die Gefahr von unentdeckten oder ungefixten Sicherheitslücken kontinuierlich zunimmt.
Der Countdown läuft
Sofern die Drupal Association den EOL-Termin dieses Mal wirklich ernst nimmt, wird es für die Verantwortlichen von Drupal 7 Projekten langsam an der Zeit sich zu bekennen und die notwendigen Schritte für die Zukunft einzuleiten. 17 Monate bleiben noch.