Discussion :

[Bill Fassinou]

Un rapport révèle que la plupart des déploiements de PHP utilisent des versions qui ne sont plus prises en charge
61,9 % des répondants utilisent encore des versions de PHP en fin de vie

Zend by Perforce a publié son dernier rapport sur l'écosystème PHP et la façon dont le langage est utilisé par les différents acteurs (les développeurs, les responsables, directeurs du développement, responsables et directeurs informatiques). Le rapport révèle que les équipes utilisant des versions PHP en fin de vie représentent 61,9 % de l'ensemble des réponses", en tenant compte des versions plus anciennes. Il note également que les trois principales catégories d'emploi étaient les développeurs, à 56,2 %, les responsables et directeurs du développement, à 10,3 %, et les responsables et directeurs informatiques, à 7 %.

Le rapport annuel Zend by Perforce présente des données et des analyses sur les technologies clés et les tendances de l'écosystème de développement PHP. Cette année, les principales conclusions sont centrées sur l'adoption des versions de PHP. Le rapport est basé sur les résultats d'une enquête anonyme menée entre les mois d'octobre et de décembre 2022. L'enquête a été promue via les médias sociaux et les courriels, et Zend a reçu un total de 651 réponses "qualifiées". La moitié des répondants se décrivent comme des développeurs. La somme des chiffres est supérieure à 100 % en raison des organisations qui utilisent plusieurs versions différentes.

Avec l'annonce de la fin de vie (EOL) de PHP 7.4 en novembre 2022, PHP 8 est devenu le seul PHP supporté par la communauté. Bien que ce ne soit pas une nouvelle, et que cela ait été annoncé depuis des années avec la publication du cycle de vie des différentes versions de PHP, cela a un impact énorme. La fin de vie signifie que la communauté officielle du langage PHP ne corrigera plus les bogues ou les problèmes de sécurité. Chaque branche d'une version est supportée pendant deux ans, avec une année de plus pour les problèmes de sécurité critiques uniquement. Le rapport révèle que les développeurs et les organisations ne sont toujours pas à jour.

Environ 61,9 % des répondants utilisent encore des versions de PHP qui ont atteint la fin de vie. Seuls 46 % utilisent PHP 8.1. PHP 8.2 a été publiée en décembre 2022, mais n'a pas été prise en compte dans l'enquête. L'enquête de Zend montre que PHP 7.4 est toujours la version de PHP la plus utilisée, et beaucoup ont déclaré utiliser des versions encore plus anciennes. Cela dit, il est courant que les distributions Linux supportent les anciennes versions de PHP plus longtemps. Par exemple, Red Hat indique que PHP 7.4 est supporté par RHEL (Red Hat Enterprise Linux) 8, sa distribution Linux pour les serveurs d'entreprise, jusqu'en mai 2029.

De son côté, Microsoft a déclaré que les utilisateurs de PHP sur Azure App Service n'étaient plus pris en charge en même temps que la fin de vie de la communauté. La mise à niveau n'est pas forcément triviale. La longue liste des changements de rupture de PHP 8.0 montre de nombreuses raisons pour lesquelles le code peut ne plus fonctionner comme prévu, ou échouer de manière subtile dans certaines conditions. Selon Matthew Weier O'Phinney, chef de produit chez Zend, cela laisse beaucoup d'utilisateurs et d'organisation dans l'embarras. O'Phinney suggère que la migration d'une application peut sembler être la meilleure solution.

Cependant, il ajoute : « si une application a une durée de vie limitée, ou si une équipe est déjà à pleine capacité, ce n'est pas toujours une option. Doivent-ils mettre à jour leur version de PHP et prendre le temps de rendre leur application compatible, ou doivent-ils rechercher des éditions de support à long terme du langage afin de tirer une année ou deux de plus de la version de PHP qu'ils utilisent actuellement ? Autant de questions que les gens se posent ». En outre, selon l'enquête, PHP est plus souvent déployé sur le cloud que sur site, avec 46 % de déploiements sur Amazon Web Services (AWS), devant Google Cloud Platform (GCP) (19,5 %).

Digital Ocean arrive à la troisième place avec (17,2 %) et Azure (14,2 %). Environ 36,8 % des entreprises déploient PHP sur site. La conteneurisation est également une tendance, avec 57,5 % des répondants qui l'utilisent, contre 30 % en 2022. Enfin, les bases de données relationnelles, les API Web et autres sont des intégrations courantes pour les applications PHP de production. O'Phinney a déclaré que les organisations qui déploient PHP "recherchent des équipes capables de conteneuriser des applications et d'utiliser des techniques d'orchestration sophistiquées afin de gérer l'ensemble de l'infrastructure dans laquelle l'application fonctionne".

« Ces changements indiquent que l'époque où l'on envoyait des fichiers par FTP sur un serveur pour déployer une application PHP est révolue depuis longtemps », écrit O'Phinney. Il estime que PHP évolue rapidement et que les utilisateurs et les organisations n'arrivent parfois pas à suivre le rythme. « PHP évolue rapidement, et les résultats de notre enquête montrent à nouveau que de nombreuses équipes n'ont pas les ressources nécessaires pour suivre le rythme, ou n'en font pas une priorité. Cela les laisse dans une position précaire qui expose leurs applications à des vulnérabilités potentiellement dangereuses », a déclaré O'Phinney.

Alors que 68 % des personnes interrogées ont indiqué qu'une mise à niveau était prévue dans les 12 prochains mois, plus de la moitié ont déclaré consacrer 25 % ou moins de leur temps de développement à des tâches de maintenance telles que les migrations. En écho à ce sentiment, les répondants ont déclaré que la création de nouvelles fonctionnalités était plus importante que la sécurité des applications. Les avis sur le sujet semblent être partagés. Selon O'Phinney, il ressort clairement de cette enquête que certaines équipes PHP sont obligées de prendre des décisions difficiles lorsqu'il s'agit de développer leurs applications.

« Doivent-elles s'assurer que leurs applications sont sécurisées et risquent-elles de prendre du retard sur leurs concurrents ? Ou bien se concentrent-elles sur la création de nouvelles fonctionnalités et ignorent-elles l'exposition potentielle aux vulnérabilités ? Heureusement, il existe des options qui peuvent aider les entreprises à faire les deux », a écrit O'Phinney.

Par ailleurs, les personnes interrogées étaient principalement des développeurs, qui représentaient 64 % des répondants. Il y avait également un bon nombre de décideurs parmi les personnes interrogées, dont 9 % de directeurs du développement, 7 % de directeurs informatiques et 6 % de DSI/CTO.

Source : Édition 2022 du rapport de Zend sur le paysage PHP

Et vous ?

Que pensez-vous des conclusions de l'édition 2022 du rapport de Zend sur le paysage PHP ?
Selon vous, pourquoi les développeurs et les organisations utilisent toujours des versions de PHP en fin de vie ?
Pensez-vous que le langage PHP évolue trop rapidement pour permettre aux équipes de suivre le rythme ? Pourquoi ?

Voir aussi

JetBrains et d'autres entreprises unissent leurs forces pour lancer la Fondation PHP, après la décision du contributeur clé Nikita Popov de rester un peu en retrait du développement du langage

PHP conserve la première place en tant que langage de programmation côté serveur sur le Web avec près de 79% d'utilisation, selon un rapport de la W3Techs

PHP 8 est disponible et s'accompagne d'optimisations et de nouvelles fonctionnalités, incluant entre autres les arguments nommés, les types d'union, l'opérateur nullsafe, la compilation JIT

Microsoft annonce qu'il ne va plus offrir de support à PHP sur Windows dès la version 8.0, dont la sortie est prévue pour novembre

[maltyxx]

C'est normal, PHP ne propose pas de version LTS, comme le ferait d'autres runtimes, c'est l'une de ses faiblesses du coup il est difficile d'être à jour.

https://www.php.net/supported-versions.php

[Nb]

Oui c est tres à la mode de ne pas se soucier de faire du support. C est valable pour plein de trucs en informatique (langages, applications, framework...etc)
On comprend bien que ca leur facilite la vie de faire fi de l existant mais c est totalement contre productif : mon experience ne reflete peut etre pas la majorité, mais je croise de plus en plus de professionnels qui ignorent les nouvelles versions des langages/framework/applications qu ils utilisent.
Ca devient simplement impossible de suivre le rythme.
Pour l exemple de php quand tu bricoles dans ton garage avec 3 applis et 2 serveurs ca se gère au delà ca devient inenvisageable de suivre.

[floyer]

Un utilisateur de Debian 11 (stable) restera logiquement en php7.4 en attendant Debian 12.

A moins de prendre un dépôt alternatif. Reste à savoir ce qui est le plus sûr en terme de réactivité pour les correctifs de sécurité.

[23JFK]

Chez Free, ils utilisent la version 4.4.3-dev

[cavo789]

Chez Free, ils utilisent la version 4.4.3-dev

C'était une VXXLTS la 4.4.3-dev ? (very extra extra long term support) (c'est sûr que -dev est meilleure que -stable)

[Jarodd]

À mon boulot on vient à peine de passer en 7.1 (en prod), alors qu'elle est déjà périmée
Et sur ma Ubuntu 20.04 (qui est LTS), j'ai tenté d'ajouter le ppa ondrej/php pour avoir php 8.x au lieu de 7.4 par défaut : résultat ça m'a foutu un bazar pas possible, qui lors d'une mise à jour, m'a désinstallé plein de paquets importants, dont network-manager ! J'ai bien galéré pour le remettre en place afin de le supprimer (au moins j'ai appris des trucs, notamment qu'il y a plein de dépendances, dont certaines impossibles à résoudre car... paquets plus disponibles ).
Bref il faut faire bien gaffe quand on n'est pas à jour, et qu'on veut utiliser des moyens "alternatifs". Le problème c'est que les systèmes LTS conservent des versions obsolètes, forcément. Mais une màj de version majeure (avoir php 8.0 au moins, et pas la dernière 8.2) serait déjà un progrès.

[binarygirl]

On comprend bien que ca leur facilite la vie de faire fi de l existant mais c est totalement contre productif : mon experience ne reflete peut etre pas la majorité, mais je croise de plus en plus de professionnels qui ignorent les nouvelles versions des langages/framework/applications qu ils utilisent.
Ca devient simplement impossible de suivre le rythme.

Ca n'excuse pas de fourguer des applications en PHP 5.x... et d'ailleurs sur ce forum on voit beaucoup de code PHP très ancien et c'est interpellant.
C'est un problème de supply chain (et de qualité), ça veut souvent dire que le reste de l'environnement est obsolète aussi.

Pour l exemple de php quand tu bricoles dans ton garage avec 3 applis et 2 serveurs ca se gère au delà ca devient inenvisageable de suivre.

Ben on fait, comme les grands, on entretient ses systèmes et on automatise avec des outils comme Ansible, et des suites de tests. Ou alors c'est un hobby.
Mais oui, un upgrade peut casser le code. C'est bien pour ça qu'il faut faire de la veille technologique, pour anticiper les changements qui s'imposeront tôt ou tard.
Donc manifestement, les solutions qui sont vendues n'incluent pas de maintenance, ou bien le client ne veut pas payer pour.
Pour se prémunir des "breaking changes" il y a des solutions de containerisation qu'il faudrait peut-être envisager (ex: Docker).
Donc tout ça me fait penser que les apps PHP qui sont commandées ont été pensées sans vision à long terme et donc probablement sans analyse sérieuse.
Il faut aussi se poser la question de la maturité de PHP en tant que plateforme de développement. Je ne prends pas parti sur le sujet, mais...

[smarties]

Sur mon NAS ARMbian, ça a été une horreur pour passer de PHP 7.x à 8.1 et dès que j'aurais compris comment installer correctement OwnClound Infinite Scale (surtout la configuration), je n'aurais plus besoin de NextCloud donc de PHP (qui est lent) sur mon NAS.

[cavo789]

Sur mon NAS ARMbian, ça a été une horreur pour passer de PHP 7.x à 8.1 et dès que j'aurais compris comment installer correctement OwnClound Infinite Scale (surtout la configuration), je n'aurais plus besoin de NextCloud donc de PHP (qui est lent) sur mon NAS.

N'est-il pas possible d'y installer Docker ? Car, dans ce cas, plus de prise de tête, jamais (excepté apprendre à utiliser Docker).

[Nb]

@binarygirl
C est, selon moi, une vision tres reductrice de dire «faut faire comme les grands».
Les decideurs n ont, pour beuacoup, pas les competences pour l etre donc ils ne voient meme pas où est le probleme. Pour les autres je peux comprendre qu on hesite à mettre en place une vraie chaine qualité car ca coute tres tres tres cher. Donc meme s ils savent que c est la solution ils ne peuvent pas toujours l adopter.

De toutes manieres le probleme n est pas php, le probleme est que tout est comme ca et qu il n y a aucune raison rationnelle que ca soit ainsi. Pour moi, c est juste que, soit, ca facilite la vie des editeurs, soit c est leur strategie commerciale. Et en bout de chaine les directions informatique se retrouvent à devoir gerer des trucs en plus sans avoir l argent pour.

[HaryRoseAndMac]

La faute à qui ?

OVH par exemple, qui ne permet de mettre que PhP 8.1 maximum sur ses mutualisés ...

[ddaweb]

OVH par exemple, qui ne permet de mettre que PhP 8.1 maximum sur ses mutualisés ...

Bah, Planet Hoster permet 8.2, mais natif n'est que 7.3 ... le choix de l'hébergeur semple de plus en plus faire la différence.
J'ai quitté OVH avec notre asbl car ils ont un service inexistant pour les petits clients comme nous (le support ne répondait presque jamais) ... maintenant au moins j'ai une réponse, en moyenne, dans les 1-3 heures

[ddaweb]

@binarygirl
C est, selon moi, une vision tres reductrice de dire «faut faire comme les grands».

Je suis tout à fait d'accord avec toi, il y encore des amateurs, qui galèrent de plus en plus avec toutes les mises à jour du web (PHP entre-autre) et de la sécurité.
Je suis de la génération où les forums étaient encore une entre-aide conviviale et que l'on y trouvait les conseils dont les mises à jour des codes qu'il était impératif de faire ... cela également se perd un peu et se professionnalise !

Avec toutes les mises à jour aussi rapides, j'ai un ami, qui gère un site WP, a dit : "Ils sont occupé de tuer le web libre" et qu'il fallait presque être un professionnel pour maintenir tout aux dernières normes et suivre tous les changements.
Il a continué sur : "je mets WP à jour et plusieurs plugin ne fonctionnent plus, je passe des heures à remettre tout sur pied ou chercher un autre plugin qui fonctionne" ... cela en dit long sur l'envie de suivre les dernières normes

Pour ma part, qui suis parti du PHP 5.4 (la norme du moment), je vais encore faire le nécessaire pour PHP 8.xx, mais après c'est bon, ce sera pour quelqu'un d'autre

[Séb.]

Y'a rien de compliqué pour PHP, et les breaking-changes sont rares.

Les fonctionnalités obsolètes sont annoncées et maintenues des années avant de sauter, et sont de toute manière bien souvent source de mauvaises pratiques (RIP les magic_quotes, les register_globals, les short_open_tag, etc.).

Suffit de se tenir informé un MINIMUM et de ne pas programmer n'importe comment, bref, de s'intéresser un peu à la qualité de ce qu'on produit.

Je ne regrette pas la longue léthargie de PHP 5 qui a bien failli mener à sa mort.

[ddaweb]

Suffit de se tenir informé un MINIMUM et de ne pas programmer n'importe comment, bref, de s'intéresser un peu à la qualité de ce qu'on produit.

Oui, mais l'amateur met en ligne et ne s'inquiète que lorsque le code ne fonctionne plus et souvent ne sait plus trop ce qu'il avait fait
Ce n'est que lorsque l’hébergeur a annoncé que ma version de PHP allait disparaître qu'à intervalles réguliers je testais les nouvelles versions de PHP ... des années après !!

Les fonctionnalités obsolètes sont annoncées et maintenues des années avant de sauter, et sont de toute manière bien souvent source de mauvaises pratiques (RIP les magic_quotes, les register_globals, les short_open_tag, etc.).

Annoncée : oui, mais faut-il que cela soit suivit par le concepteur (quid les amateurs)

Pour le fun, j'ai ouvert un site de 2016 en PHP 8.2.1 (celui qui me faisait peur : notre caisse enregistreuse du bar, car ouvre le tiroir-caisse depuis la page web via une classe PHP (elle a été mise à jour plusieurs fois, la 1ère fois, suite à une màj de W10 qui a posée des problèmes) et un module USB sur le PC) et ma surprise a été grande de n'avoir que très peu d'erreurs, 99% sont des erreurs d'écriture encore acceptées en PHP 7, mais plus en PHP 8 -> ex. :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$cat0[$liste_vente_id][nr_array]=$nbr_vente_liquide;   // ----- Code de 2016
$cat0[$liste_vente_id]['nr_array']=$nbr_vente_liquide;   // ----- Code OK PHP 8

[smarties]

N'est-il pas possible d'y installer Docker ? Car, dans ce cas, plus de prise de tête, jamais (excepté apprendre à utiliser Docker).

C'est certain ce n'est pas prise de tête mais j'ai arrêté d'utilisé Docker sur mon NAS pour libérer quelques ressources et mutualiser : c’était plus simple de mutualiser (serveur de BDD unique, serveur web unique).
Je passe maintenant pas Ansible pour automatiser mais... pour le moment sur OCIS, je n'ai pas trouvé de rôle Ansible

[Séb.]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$cat0[$liste_vente_id][nr_array]=$nbr_vente_liquide;   // ----- Code de 2016
$cat0[$liste_vente_id]['nr_array']=$nbr_vente_liquide;   // ----- Code OK PHP 8

Cela illustre parfaitement le propos : du code incorrect dont les notifications "Notice: Use of undefined constant" sont cachées par un error_reporting laxiste.
Malheureusement PHP a trop longtemps laissé passer ce type de script, mais sa nouvelle orientation, plus stricte, est le bon chemin vers une programmation pérenne qui facilitera les futures évolutions.
Pour le reste il est de la responsabilité de l'auteur (fusse-t-il amateur) de programmer correctement et de se tenir informé.
Ici on peut facilement suivre les nouveautés et les dépréciations (temps investi = 20 minutes tous les 6 mois) => https://www.php.net/manual/en/appendices.php ("Backward Incompatible Changes", "Deprecated Features")

Expérience perso : la seule breaking-change potentiellement impactante a été le passage de $HTTP_POST_VARS (& cie) à $_POST (& cie), un simple renommage des variables a été nécessaire. Si je n'avais pas suivi les bonnes pratiques et utilisé register_globals (erreur de jeunesse de PHP, un truc évidemment effroyable) le changement aurait été bien plus difficile.

[Eric30]

Il faut aussi se poser la question de la maturité de PHP en tant que plateforme de développement. Je ne prends pas parti sur le sujet, mais...

En effet il n'y a plus trop débat.
- Un langage vieux de 20 ans
- Qui s'améliore en permanence (fonctionnalité et sécurité)
- Stable
- De millions d'utilisateurs
- Un framework comme Symfony (IKEA-style, 200 composants avec plus d'un millier de contributeurs, des outils d'aide à l'analyse et au dev...)
- Facilement industrialisable.

Je fais d'autres choses à côté (Java en client lourd, Node et Python pour le web) car je ne suis pas non plus un jusqu’au-boutiste de PHP, mais en termes d’écosystème et d'outillage, PHP reste top pour le web, y compris pour des sites à fort traffic.

[edrobal]

Normal, vu que les développeurs de PHP se foute de la compatibilité descendante comme de leur première culotte. J'ai voulu upgrader le seul site que je gère en php8, résultat impossible d'y entrer. Donc retour en php7. Le passage en php7 avait déjà été galère. Et dire qu'une grand partie du web repose sur cette daube.