Viele Hersteller von Software versichern ihren Nutzern, das es eine gute Idee ist, Software möglichst schnell zu aktualisieren. Auf den ersten Blick spricht auch viel dafür: Neue Funktionen, Sicherheitsupdate, ein Update bietet meistens Vorteile. Was jedoch viele verschweigen: Updates beherbergen auch das Risiko von neuen Fehlern. Der Spruch ‚das Produkt reift beim Kunden‘ trifft leider auf immer mehr Hersteller zu.
Update-Stufen: Alpha, Beta, Release Candidate
Verantwortungsvolle Hersteller rollen ihre Updates in verschiedenen Phasen aus. Die nächste Versions-Stufe wird dabei erst erreicht, wenn in der jeweiligen Stufe keine Fehler mehr auftauchen. Die einzelnen Stufen sind dabei:
- Alpha-Version: Eine Version zum testen, die selten in die Öffentlichkeit gelangt. Sie dient intern den Softwareentwicklern und Quality-Teams gezielt zur Fehlersuche. Läuft diese Version intern stabil, so wird der Stand ‚eingefroren‘. Es werden ab sofort keine neue Funktionen mehr hinzu gefügt, sondern nur noch Fehler ausgemerzt
- Beta-Version: Erste öffentliche Version, bestimmt für einen kleinen Nutzerkreis. Diese Version dient dazu, die neue Version im Alltag unter verschiedenen Bedingungen zu testen. Eine Beta-Version sollte niemals im Produktiv-Betrieb eingesetzt werden, sondern dient ausschließlich dem Test unter Realbedingungen.
- Release Candidate (RC): Die erste Öffentliche Version. Diese wird an alle Anwender zur Verfügung gestellt. Schwerwiegende Fehler sollte ein RC nicht mehr enthalten, trotzdem gilt die Software nicht als fertig. Ein Release Candidate ist für experimentelle und erfahrene Nutzer, die zur Stabiliät beitragen wollen.
- Neue Version: Wurden die drei Stufen durchlaufen, erscheint schließlich die neue Version eines Programmes.
Innerhalb einer Stufe gibt es dabei solange Updates, bis diese Stufe als fehlerfrei gilt. Üblich sind in der Praxis meistens um die fünf Beta-Versionen sowie RCs.
Nextcloud ist zum Beispiel ein Hersteller, der nach diesem Schema vorgeht. Und die Software von Nextcloud weißt trotz des mittlerweile beträchtlichen Umfangs nur selten und wenig schwerwiegende Fehler auf.
Update-Versionen: Major, Minor, Security
Major-Updates (Versions-Updates)
Meistens neue funktionen, neuer code – manche Fehler tauchen erst durch den breiten Einsatz bei Kunden auf. Deshalb bei Versionsupdates aus Erfahrung lieber ein oder zwei Wochen warten. Meistens schiebt der Hersteller innerhalb kurzer Zeit eine Version x.1 und x.2 hinterher, in der die gröbsten Fehler beseitigt werden.
Minor-Updates
Überwiegend werden Fehler eliminiert oder der Funktionsumfang gering ergänzt. Die Codebasis bleibt also stabil, updates können ohne Zeitzwang durchgeführt werden.
Security-Updates
Es wurde ein Fehler festgestellt, der die Sicherheit des Programmes gefährdet. Bei WordPress-Plugins kann dadurch oft Code ausgeführt werden, der die Sicherheit der ganzen Webseite bedroht, z.B. Cross-Site-Scripting, Code execution). Auf solche dringende Updates wird vom Hersteller meistens gezielt hingewiesen. Solche Updates sollten umgehend durchgeführt werden.
Erfahrungen aus der Praxis
WordPress
WordPress bietet ab Version 5.4 die Möglichkeit, Plugins automatisch abzudaten. Für Seiten die nicht regelmäßig auf dem laufenden Stand gebracht werden sicher eine gute Möglichkeit. Allerdings besteht die Gefahr bei je mehr Plugins dass sich etwas zerschießt. Haben sie nur wenige Plugins, die dazu weit verbreitetet sind, öfters geupdated werden und bei denen sich der Hersteller / Programmierer aktiv darum kümmert, können sie das automatische WordPress-Update bei nicht-krititischen Seiten beruhigt aktivieren. Werden jedoch nicht alle diese Kriterien bei allen Plugins erfüllt, rate ich persönlich eher von einem Auto-Update ab, nicht jedes Plugin ist auf Anhieb stabil.
DIVI
DIVI-Updates Versions-Updates mit neuen Funktionen sind in der Form x.x, also z.B. 4.3. Aus Erfahrung enthalten diese meistens Fehler, worauf ein paar Tage später Folgeversionen erscheinen. Darum aktualisiere ich bei DIVI meistens erst ab Version x.x.1, eher noch x.x.2.
Generell finde ich die Update-Politik von Elegant Themes fürchterlich. Scheinbar testen sie ihre Software nicht ausgiebig bevor sie eine neue Version freigaben. Anders kann ich es mir nicht erklären, das neue Funktionen erst nach etlichen Updates oft stabil laufen. Und vor allem noch schlimmer: In Updates tauchen immer wieder Fehler auf, die es vorher nicht gab.
Einen allgemeingültigen Ratschlag kann ich bei DIVI so leider nicht geben, da zahlt sich einfach Erfahrung und intensives lesen des Change-Logs aus.
Negativ-Beispiel ‚All in One SEO plugin‘ update
Ein richtiges Negativ-Beispiel was alles schief laufen kann ist das Plugin ‚All in One SEO‘:
- Als erstes hat das Plugin ungefragt, ohne den Nutzer die Entscheidung zu lassen, für sich selbst das automatische Update aktiviert.
- Dann hat sich das Plugin sich selbst auf eine neue Major-Version (Versions-Update) erneuert.
- Dieses Major-Update war jedoch fehlerhaft, so das es auf etlichen Seiten (das ‚All in One SEO Plugin‘ ist immerhin mit über 2 Millionen downloads äußerst beliebt) durch das Update verursachte Konfigurations-Fehler gab; der die Webseiten crashen ließ.
Der Webseiten-Betreiber hatte also gar keine Chance, vor dem Update ein Backup herzustellen, sondern auf einmal funktionierte seine Seite nicht mehr. Ein Praxis-Beispiel, das vor Updates lieber ein Backup durchgeführt werden sollte.
So erkennen sie ‚gute‘ Software
Gute Hersteller testen Software vorher ausgiebig, bevor sie an Kunden ausgeliefert wird. Bei solchen Herstellern haben meistens die Programmierer ein gewichtiges Wort mitzureden.
Schlechte Hersteller dagegen veröffentlichen neue Versionen, weil oft das Marketing neue Funktionen verlangt. Sicherheitsupdates werden dann in schneller Folge nachgeschoben.
Wenn nach einer neuen Major-Version in kurzen Abständen zwei oder drei neue Versionen mit Fehlerbereinigungen erscheinen, die sogar noch eventuell Fehler beheben, die erst bei der neuen Major-Version auftraten und vorher nicht, dann handelt es sich schlicht und ergreifend um einen schlechten Hersteller.
Fazit
Automatische Updates sind eine schlechte Idee, der Nutzer sollte stets selbst entscheiden, wann er Updates durchführt und nach Möglichkeit vor jedem Update eine Sicherheitskopie durchführen. Der einzige Grund für automatische Updates sind Webseiten, die vom Inhaber nicht regelmäßig gepflegt werden.