Ditulis oleh Isaac Wuest, Manajer Produk Utama di HeroDevs.
Ketika tim keamanan memikirkan tentang perangkat lunak sumber terbuka yang sudah habis masa pakainya (EOL), percakapan biasanya dimulai dan diakhiri di tempat yang sama: tidak ada lagi patch.
Itu benar, tapi itu hanya separuh cerita, dan bisa dibilang separuhnya kurang berbahaya. Ada dua masalah yang tidak disadari oleh sebagian besar tim.
Masalah Pertama: Ekosistem CVE Tidak Menyelidiki Apa yang Tidak Didukungnya
Ketika kerentanan ditemukan dalam proyek sumber terbuka, pengelola menentukan versi mana yang terpengaruh dan mengajukan CVE dengan rentang dampak yang ditentukan. Setiap pemindai kerentanan, alat SBOM, dan umpan CVE di industri menggunakan rentang tersebut.
Jika versi Anda berada di luar versi tersebut, Anda tidak akan mendapat peringatan. Bukan karena kamu aman, tapi karena tidak ada yang memeriksanya.
Versi EOL berada di luar kisaran tersebut hampir secara default. Alasannya jelas: ini masalah skala. Hanya dalam lima tahun, jumlah CVE global meningkat dua kali lipat sementara jumlah CVE yang tidak diberi skor meningkat 37x, menurut Laporan Keadaan Rantai Pasokan Perangkat Lunak Sonatype tahun 2026.
Pengelola sudah kewalahan menyelidiki dan menambal versi yang mereka dukung secara aktif, dan karena volume CVE dan jumlah total rilis paket terus bertambah, bandwidth investigasi yang diperlukan untuk mencakup jalur rilis lama tidak ada.
Pengelola harus realistis mengenai seberapa jauh mereka dapat melangkah ke belakang dalam sejarah rilis mereka.
Penelitian Sonatype secara eksplisit menyebut “versi EOL yang dihilangkan dari saran” sebagai pendorong kepercayaan keamanan palsu, berkontribusi terhadap 167.286 negatif palsu, komponen yang dapat dieksploitasi dan tidak ditandai sama sekali, yang mereka identifikasi pada tahun 2025 saja.
Seperti Apa Prakteknya
Dua kerentanan kritis baru-baru ini di ekosistem Spring membuktikan hal ini.
CVE-2026-22732 — Keamanan Musim Semi (Kritis, Maret 2026, CVSS 9.1)
Kerentanan ini juga menyebabkan header respons keamanan Kontrol Cache, Opsi Bingkai-X, Keamanan Transportasi yang KetatDan Kebijakan-Keamanan-Kontenuntuk dihapus secara diam-diam dalam konfigurasi aplikasi servlet tertentu. Rentang resmi yang terpengaruh mencakup Keamanan Musim Semi 5.7.x hingga 7.0.x.
Keamanan Musim Semi 6.2.x tidak terdaftar. Ini mencapai EOL pada bulan Desember 2025. Spring Boot 3.2 dikirimkan dengan Spring Security 6.2. Organisasi mana pun yang menjalankan Boot 3.2, satu versi minor di belakang kisaran yang tercantum, tidak menerima sinyal pemindai.
HeroDevs telah mengonfirmasi bahwa Spring Security 6.2.x terpengaruh dan telah melakukan backport perbaikan untuk pelanggan NES. Catatan CVE hulu tidak mencerminkan hal ini.
Seberapa Sering Hal Ini Terjadi?
Contoh Musim Semi di atas bukanlah hal yang aneh. Mereka mencerminkan pola yang ditemui HeroDevs secara konsisten di seluruh praktik Dukungan Tanpa Akhir.
Ketika CVE baru diungkapkan pada paket yang didukung, HeroDevs merasa perlu menambal versi EOL yang catatan CVE resmi tidak terdaftar sebagai terpengaruh sekitar 80% dari waktu. Radius ledakan pada kerentanan tertentu secara sistematis lebih luas dibandingkan dengan apa yang tercatat dalam catatan.
Sederhananya: untuk empat dari setiap lima CVE yang diungkapkan pada versi yang didukung, ada kemungkinan besar bahwa versi EOL yang Anda jalankan juga terpengaruh, dan tidak ada pemindai di dunia yang akan memberi tahu Anda hal tersebut.
Masalah Kedua: Industri Menghitung Perangkat Lunak EOL yang Salah
Kesenjangan investigasi CVE di atas berlaku untuk perangkat lunak EOL yang sebenarnya diketahui masyarakat sebagai EOL. Hal ini ternyata hanyalah sebagian kecil dari masalah sebenarnya.
Sumber data EOL yang paling banyak dikutip adalah akhir kehidupan.tanggalyang melacak sekitar 350 proyek yang dikelola secara aktif; kerangka kerja dan waktu proses utama di mana pengelola secara eksplisit mempublikasikan tanggal akhir masa pakainya.
Di antara 350 proyek tersebut, sekitar 7.000 versi paket spesifik diidentifikasi sebagai EOL. Di sanalah sebagian besar pemindai dan tim keamanan bekerja.
Inilah skala permasalahan sebenarnya.
Di dalam Laporan Keadaan Rantai Pasokan Perangkat Lunak Sonatype tahun 2026diproduksi bekerja sama dengan HeroDevs, datanya menceritakan kisah yang berbeda. Menganalisis status siklus hidup di 12 juta versi paket yang mencakup npm, PyPI, Maven, NuGet, RubyGems, Go, Packagist, dan crates.io, HeroDevs menemukan bahwa 5,4 juta dari versi tersebut sudah habis masa pakainya.
Namun, sumber publik terlengkap di industri (endoflife.date) hanya mencakup ~7.000 di antaranya.
Kerusakan ekosistem sangat mencolok. Sekitar 25% versi paket npm adalah EOL. NuGet berada di sekitar 18%, Cargo sebesar 13%, PyPI sebesar 11%, dan Maven Central sebesar 10%. Ini adalah versi yang aktif muncul di SBOM perusahaan saat ini, tanpa cakupan investigasi CVE dan tidak ada jalur perbaikan.
Laporan Sonatype menemukan bahwa 5–15% komponen dalam grafik ketergantungan perusahaan adalah EOL, yang menunjukkan paparan EOL bahkan ketika tim yakin mereka hanya menggunakan perpustakaan tingkat atas yang didukung. Ketergantungan transitif, paket tempat paket Anda bergantung, membawa sebagian besar paparan tersembunyi ini.
Sebagian besar organisasi tidak melaporkan paparan EOL mereka secara mendalam, dan ini bukan kesalahan mereka. Peralatan mereka tidak pernah dibuat untuk mendeteksi pengabaian dalam skala besar.
HeroDevs telah mengonfirmasi lebih dari 81.000 versi paket EOL dengan CVE yang diketahui dan tidak ada jalur perbaikan yang tersedia, artinya ini adalah CVE yang diselidiki dan dikonfirmasi secara aktif.
Mengingat sekitar 80% CVE pada versi yang didukung juga memengaruhi versi EOL yang tidak pernah diselidiki secara resmi, jumlah sebenarnya kemungkinan jauh lebih besar. HeroDevs memperkirakan angka sebenarnya mungkin mendekati angka tersebut >400.000 di semua register.
Mengapa Hal Ini Menjadi Lebih Buruk
Dinamika ini bukanlah hal baru. Hal yang baru adalah kecepatan penggabungannya.
Ekosistem OSS berkembang lebih cepat dibandingkan infrastruktur keamanan yang dibangun untuk memantaunya. npm sendiri mencatat lebih dari 838.000 rilis yang terkait dengan skor kritis CVSS 9.0+ pada tahun 2025. Volume unduhan PyPI tumbuh lebih dari 50% dari tahun ke tahun.
Setiap versi paket baru yang masuk ke registri adalah versi EOL masa depan, dan populasi EOL terus bertambah, sedangkan kapasitas investigasi untuk mencakupnya tidak.
Namun, fungsi pemaksaan yang lebih signifikan mungkin adalah AI.
Pada bulan April 2026, Anthropic mengumumkan Project Glasswing bersama Claude Mythos Preview, yang mendokumentasikan kemampuannya untuk mengidentifikasi dan mengeksploitasi kerentanan zero-day di semua sistem operasi dan browser utama — termasuk kerentanan yang tidak terdeteksi selama beberapa dekade.
Inisiatif ini secara eksplisit bersifat defensif, diarahkan untuk menemukan dan memperbaiki kerentanan kritis sebelum penyerang dapat mengeksploitasinya.
Untuk perangkat lunak dengan dukungan aktif, ini merupakan kabar baik. Kerentanan yang ditemukan pada skala AI dapat disalurkan ke teknisi yang dapat mengatasinya.
Untuk software EOL, kalkulusnya berbeda. AI yang menemukan kerentanan di seluruh lanskap basis kode akan menampilkan temuan dalam versi yang tidak diawasi oleh pengelola. Temuan tersebut tidak akan diselidiki secara resmi terhadap rentang yang terkena dampak EOL.
Mereka tidak akan memicu peringatan pemindai untuk pengguna EOL. Tidak ada patch hulu yang dapat mengatasinya. Kemampuan yang sama yang mempercepat pertahanan untuk perangkat lunak yang didukung memperlebar kesenjangan paparan untuk segala sesuatu yang sudah tertinggal.
Tanda-tanda awal perubahan ini sudah terlihat. Dampak penuhnya belum tiba.
Apa yang Harus Dilakukan
Mulailah dengan visibilitas. HeroDevs menawarkan gratis Pemindaian EOL.
Unggah file ketergantungan atau gunakan CLI untuk mengidentifikasi paparan EOL di seluruh tumpukan Anda dalam hitungan menit, mencakup paket yang diumumkan dan ditinggalkan di semua registri utama.
Jangan menganggap keheningan pemindai sebagai keamanan. Pemindaian bersih terhadap paket EOL berarti paket tersebut tidak diperiksa, bukan berarti paket tersebut tidak rentan.
CVE Musim Semi di atas adalah bukti terkini — dalam kedua kasus tersebut, pengguna EOL terekspos tanpa peringatan hingga HeroDevs menyelidiki dan melaporkan.
Tanggal EOL bukanlah garis finis. Ini adalah saat dimana risiko secara diam-diam berpindah dari pengelola ke operator. Seiring dengan meningkatnya penelitian kerentanan yang dibantu AI, jumlah kerentanan yang tidak diungkapkan dalam paket EOL yang tidak diselidiki akan terus bertambah.
Mulailah hari ini dengan Pemindaian EOL gratis HeroDev.
Disponsori dan ditulis oleh Pengembang Pahlawan.
