Notes de mise à jour de Magento Open Source 2.4.0

Implémentation de 2FA pour les comptes d’administration, les comptes d’utilisateur magento.com et l’accès SSH dans le cloud

• Sécurisation de votre compte administrateur. L’authentification à deux facteurs (2FA) est désormais requise pour l’administrateur. Les utilisateurs administrateurs doivent d’abord configurer leur 2FA avant de se connecter à l’administration via l’interface utilisateur ou une API web. 2FA est activé par défaut. Nous vous recommandons vivement de ne pas désactiver le module 2FA. Cette étape supplémentaire d’authentification rend plus difficile, pour les utilisateurs malveillants, la connexion à l’administrateur sans autorisation. Voir Authentification à deux facteurs (2FA).

• Sécurisation de votre compte. L’authentification à deux facteurs (2FA) fournit une couche de sécurité supplémentaire et facultative pour mieux protéger votre compte magento.com contre les utilisateurs non autorisés qui pourraient utiliser votre compte d’une manière dont vous ne le souhaitez pas. Voir Sécurisation de votre compte.

Sécurisation de l’accès SSH au cloud. Adobe sur les infrastructures cloud fournit une application d’authentification multifacteur (MFA) pour gérer les exigences d’authentification pour l’accès SSH aux environnements cloud. L’authentification multifacteur pour 2FA n’est pas activée par défaut sur un projet. Adobe recommande vivement d’activer cette fonctionnalité. Contactez l’assistance pour obtenir de l’aide. Voir Activation de l’authentification multifacteur pour l’accès SSH.

Le mode strict du filtre de modèle est désormais activé par défaut. Les composants (y compris les pages et blocs CMS) qui utilisent le filtre de modèle en mode hérité peuvent être vulnérables à l’exécution de code à distance (RCE). L’activation du mode strict par défaut garantit que les attaques RCE ne peuvent pas être délibérément activées.

Le rendu des données pour les fournisseurs de données de l’interface utilisateur est désormais désactivé par défaut. Cela supprime la possibilité pour des utilisateurs malveillants d’exécuter des JavaScript arbitraires.

Nouvelle classe de \Magento\Framework\Escaper. Cette classe est fournie pour les modèles .phtml et les classes PHP responsables de la génération d’HTML. Cette classe contient des méthodes d’assainissement HTML pertinentes pour plusieurs contextes. La variable locale $escaper est disponible dans .phtml modèles et doit être utilisée à la place de l’$block->escape{method} obsolète. Utilisez $escaper plutôt que $block, car l’utilisation de $block->escape{method} a été abandonnée.

Prise en charge du nouveau fichier security.txt. Ce fichier est un fichier standard sur le serveur qui aide les chercheurs en sécurité à signaler les problèmes de sécurité potentiels aux administrateurs du site.

Améliorations de la prise en charge de la politique de sécurité du contenu (CSP). SecureHtmlRenderer a été ajouté au framework et est disponible dans les modèles de .phtml pour whitelister des balises style et script intégrées. Les scripts et les styles intégrés ne sont pas autorisés avec la configuration CSP par défaut, qui peut être remplacée par des fichiers XML.

La prise en charge de PHP 7.4 a été introduite et PHP 7.1 et 7.2 a été abandonné. 2.4.0 introduit la prise en charge de PHP 7.4.

Prise en charge de PHPUnit 9.x et abandon de PHPUnit 6.5. PHP 7.4 nécessite l'utilisation du dernier framework de test PHPUnit, qui est PHPUnit 9.x. Les fournisseurs d'extensions Commerce Marketplace doivent confirmer que toutes les nouvelles versions d'extension sont compatibles avec PHP 7.4 et que tous les tests unitaires et d'intégration ont été configurés pour être exécutés avec PHPUnit 9.

Prise en charge d’Elasticsearch 7.6.x. Elasticsearch 7.6.x est désormais le moteur de recherche catalogue par défaut pour Adobe Commerce et Adobe Commerce. Vous ne pouvez pas installer ni mettre à niveau vers la version 2.4.0 sans installer également Elasticsearch 7.6.x. Le code de la version 2.x d’Elasticsearch a été supprimé. Les versions 5.x et 6.x d’Elasticsearch sont obsolètes et ne sont plus prises en charge. Voir Conditions préalables relatives aux moteurs de recherche.

Prise en charge de MySQL 8.0. La version 2.4.x prend en charge MySQL 8.x. (La version 2.4.0 a été testée avec MySQL 8.0.20.) Les commerçants sont encouragés à migrer leurs déploiements vers MySQL 8.x afin de tirer parti de ses performances, de sa sécurité et de sa fiabilité améliorées. Bien que MySQL 5.7 soit toujours pris en charge pour Magento 2.4.x, MySQL 5.6 n’est plus pris en charge. Vous ne pouvez pas héberger 2.4.x avec une base de données MySQL 5.6. Voir MySQL.

Suppression du moteur de recherche de catalogue MySQL. Le moteur de recherche MySQL a été supprimé de la version 2.4.0 et remplacé par Elasticsearch en tant que moteur de recherche par défaut. Elasticsearch offre des fonctionnalités de recherche de qualité supérieure ainsi que des optimisations des performances de catalogue. Tous les commerçants doivent disposer d’Elasticsearch pour installer et déployer la version 2.4.0. Voir Vérification de l’installation d’Elasticsearch.

Prise en charge de MariaDB 10.4. La prise en charge de MySQL 8.0 permet aux commerçants de déployer MariaDB 10.4 avec Magento Open Source. Bien que les commerçants puissent toujours utiliser MariaDB 10.2 avec 2.4.0, nous vous recommandons de mettre à niveau vers MariaDB 10.4 pour améliorer les performances et la fiabilité. MariaDB 10.0 et 10.1 ne sont plus prises en charge (suite à la suppression de la prise en charge de MySQL 5.6 dans cette version).

Migration des dépendances de Zend Framework vers le projet Laminas pour refléter la transition de Zend Framework vers le projet Laminas de la Fondation Linux. La structure d'envoi a été abandonnée. Voir l'article Migration de Zend Framework vers le projet Laminas DevBlog.

Décomposition des contrôleurs permet aux développeurs d’extensions d’implémenter ActionInterface directement sans classes de « supertype de couche ». Voir l’article Décomposition des contrôleurs DevBlog . Amélioration démarrée par Vinai Kopp dans la demande de tirage 16268 et finalisée par Lukasz Bajsarowicz dans la demande de tirage 26778. GitHub-9582

Suppression de l’intégration principale du code de protection contre la fraude de Signifyd. Cette fonctionnalité principale n’est plus prise en charge. Les commerçants doivent migrer vers l’extension Protection contre la fraude et les refacturations Signifyd disponible sur Commerce Marketplace.

Le module core Braintree a été supprimé de la base de code. Le module Braintree Payments offre désormais le même ensemble de fonctionnalités. Voir Paiements Braintree.

Le navigateur Internet Explorer 11.x n’est plus pris en charge.

Suppression de l’intégration principale des modes de paiement tiers. Avec cette version, l'intégration de la méthode de paiement Authorize.Net a été supprimée du code principal. Les commerçants doivent migrer vers l’extension officielle disponible sur le Commerce Marketplace. Consultez l’article de devblog Obsolescence des intégrations de paiement.

Prise en charge de la recherche par mots partiels pour Elasticsearch (nouveau moteur de recherche par défaut). Elasticsearch prend désormais en charge l’utilisation de mots partiels dans les termes de recherche pour les noms de produit et les SKU lors de l’utilisation de la recherche rapide. Cette fonctionnalité était prise en charge par le moteur de recherche MySQL, qui a été abandonné et remplacé par Elasticsearch dans cette version.

Mise à niveau du SDK PayPal JavaScript. Nous avons migré l'intégration de PayPal Express Checkout vers le dernier SDK PayPal JavaScript, un SDK qui collecte et transmet automatiquement les paramètres de risque nécessaires à PayPal. Le comportement du mode de paiement PayPal Express Checkout reste inchangé. Toutefois, la mise à niveau de ce SDK vers la dernière version permet aux commerçants d’accéder aux dernières fonctionnalités et améliorations de la sécurité.

Abandon et suppression de l'Assistant Configuration Web. Vous devez utiliser la ligne de commande pour installer ou mettre à niveau la version 2.4.0. Voir Installation de Magento.

Module externe de mise à jour du compositeur. Le plug-in du compositeur simplifie le processus de mise à niveau en résolvant les modifications qui doivent être apportées au fichier composer.json du projet racine avant la mise à niveau vers une nouvelle version. Ce plug-in protège contre le remplacement des personnalisations. Voir Mise à niveau à l’aide du plug-in racine du compositeur.

Achats assistés par le vendeur. Cette fonctionnalité permet aux commerçants d'afficher le storefront au nom de leurs clients. Les clients choisissent d’autoriser l’accès storefront à leurs comptes. Cette fonctionnalité communautaire comprend une extension originale développée par MAGEFAN. Voir Achat assisté par le vendeur. Les fonctionnalités incluent :

• Une liste de contrôle d’accès pour contrôler quels administrateurs peuvent se connecter aux comptes clients peut être configurée site par site web
• Compatibilité avec plusieurs sites web et portées de compte client
• Les commandes passées au nom des clients sont consignées dans le storefront et l’administrateur
• Toutes les sessions sont détruites après la déconnexion de l’administrateur, qui ne peut pas accéder aux mots de passe du client.

Améliorations de la logique d’invalidation de la section Données client. Cette version introduit une nouvelle façon d’invalider toutes les données des sections client qui évite un problème connu avec le stockage local lorsque les invalidations de sections.xml personnalisées sont actives. (Auparavant, le contenu privé (stockage local) n’était pas correctement renseigné lorsque vous aviez un etc/frontend/sections.xml personnalisé avec des invalidations d’action.) Voir Contenu privé.

Plusieurs optimisations des performances Redis. Ces améliorations réduisent le nombre de requêtes à Redis qui sont effectuées sur chaque requête. Ces optimisations incluent :

• Réduction de la taille des transferts de données réseau entre Redis et Magento

• Réduction de la consommation de cycles CPU par Redis en améliorant la capacité de la carte à déterminer automatiquement ce qui doit être chargé

• Réduction des conditions de concurrence sur les opérations d’écriture Redis

Voir Utiliser Redis pour la page et le cache par défaut et Configurer la mise en cache.

Amélioration de la mise en cache des résultats des requêtes SQL dans les tables d’inventaire. Ces améliorations comprennent :

• Mise en cache des requêtes SQL dans la table inventory_stock_sales_channel (1 requête au lieu de 16)

• Mise en cache du résultat des requêtes dans la table inventory_stock (1 requête au lieu de 16)

Amélioration de 25 à 30 % des performances de l’ajout au panier pour les commandes rapides.

Les commerçants peuvent désormais utiliser le chargement différé pour charger des images.

L’application affiche désormais les comportements suivants lorsque la connexion à Redis est interrompue. Auparavant, l’application ne rechargeait pas la page active et affichait cette erreur : An error has happened during application run. See exception log for details.

• Les sessions d’administrateur et de storefront expirent
• Les utilisateurs administrateurs et storefront doivent se reconnecter
• Les données de session sont enregistrées dans var/session/
• Aucune erreur ou exception n’est consignée.

php bin/magento cron:run ne traite plus plusieurs fois les éléments de la table des journaux des modifications. Auparavant, lorsque le tableau des journaux des modifications comportait plus de 100000 nouvelles versions, les actions pouvaient être appelées plusieurs fois pour la même entity id.

php bin/magento setup:cron:run commande a été supprimée. Les références à ce paramètre dans les onglets cron doivent être supprimées lors de la mise à niveau.

Le fichier update/cron.php a été supprimé dans la version 2.4.0. Si ce fichier existe sur votre installation, vous pouvez le supprimer en toute sécurité. Supprimez également les références à ce fichier dans les onglets cron lors de la mise à niveau.

Correction d’un problème dans GraphQL en raison duquel l’application ne renvoyait pas toutes les informations requises lors de l’utilisation de fragments dans la requête de produits. Correctif soumis par Riccardo Tempesta dans la demande de tirage 26218. GitHub-26217

La setShippingMethodsOnCart de mutation GraphQL ne récupère plus les données incorrectes dans l’attribut available_shipping_methods. Correctif soumis par Vadim Malesh dans la demande de tirage 27004. GitHub-26742

L’application n’affiche plus de page vierge au lieu d’afficher tous les transporteurs dans la zone de liste déroulante/sélection multiple. Auparavant, une erreur dans la fonction toOptionArray dans vendor/magento/module-shipping/Model/Config/Source/Allmethods.php s’était produite. Correctif soumis par Marc Rodriguez dans la demande de tirage 25315. GitHub-13136

L'application n'applique plus de remise à montant fixe plusieurs fois lorsqu'un client crée une commande qui sera envoyée à plusieurs adresses. Correctif soumis par Mahesh Singh dans la demande de tirage 26419. GitHub-25834

Chaque groupe d'action d'un test a été déplacé vers un fichier distinct afin de suivre les bonnes pratiques MFTF, et les noms de fichiers incohérents ont été révisés. Les tests des modules suivants ont été affectés :

• module-catalog-permissions
• module-shared-catalog
• module-catalog-event
• module-banner
• module-admin-gws
• module-advanced-checkout
• module-shipping
• module-ui
• module-shipping
• module-checkout-address-search
• module-sales
• module-catalog
• module-catalog-rule-staging
• module-visual-merchandiser
• module-customer

Correctif soumis par Lukasz Bajsarowicz dans les demandes d’extraction 25800, 26323, 26321, 26320, 26319, 26322, 25828, 26329 (et les demandes d’extraction 104, 105, 106, 107, 108, 109, 111, 119, 120, 121 dans private repository partners-magento2ee) GitHub-22853

Problème : les modes de paiement sont manquants dans le workflow de passage en caisse lorsqu’un client clique sur Retour à la caisse standard lors du passage en caisse avec Amazon Pay. Solution : actualisez la page de passage en caisse pour afficher les méthodes manquantes.

Problème : l'application affiche deux modes de règlement Amazon identiques dans la liste déroulante Mode de règlement disponible lors de la création d'une règle de prix de panier.

Problème : l’application affiche une erreur lorsqu’un administrateur tente d’accéder à la page Rapport de règlement Braintree (Admin > Rapports ). Actuellement, l’application affiche le message suivant : An error has happened during application run. See exception log for details. Voir l’article de la base de connaissances sur l’échec du chargement du rapport de règlement de Braintree 🔗. Le correctif BUNDLE-2683_SettlementReport.patch pour ce problème est désormais disponible à partir de Versions.

Problème : les commerçants ne peuvent pas créer de factures partielles pour les commandes dans les déploiements où Venmo est activé et le paramètre Activer le coffre pour les paiements par carte est désactivé. Actuellement, l'application affiche cette erreur : The "vault_capture" command doesn't exist. Verify the command and try again.

Problème : l’application affiche deux modes PayPal identiques dans la liste déroulante Mode de paiement disponible lors de la création d’une règle de prix de panier.

Problème : l’application rencontre une erreur lors de l’ouverture du terminal virtuel Ventes > Braintree. Bien que le formulaire contienne des éléments d’IU corrompus, il accepte toujours les paiements. Solution : enregistrez les informations d’identification Braintree correctes, ce qui corrigera les champs d’entrée réduits. Voir l'article de la base de connaissances sur la page du terminal virtuel Braintree 🔗 Le correctif BUNDLE-2670_VirtualTerminal.patch pour ce problème est désormais disponible à partir de Versions.

Problème : l’application affiche un message d’erreur dans les pays suivants lorsqu’un client sélectionne un mode de paiement local lors du passage en caisse : Belgique, Pays-Bas, Italie, Espagne et Pologne. Solution : ignorez le message d’erreur et continuez le paiement.

Si un membre de la communauté a fourni un correctif pour cette version, nous l’identifions dans la section Problème résolu de ces notes avec l’expression « Correctif fourni par le membre de la communauté @member_name ».

L’équipe d’ingénierie de communauté Magento Contributors tient à jour une liste des principaux contributeurs individuels et partenaires par mois, trimestre et année. Depuis cette page Contributeurs, vous pouvez suivre les liens vers leurs relations publiques fusionnées sur GitHub.