.png)
如果软件无人维护,你就无法对其进行修补。
超过 81,000 个软件包存在已知的 CVE 漏洞,且无修复途径。您的 SCA 工具会标记该漏洞。EOL DS 则会告知您该软件已停止维护。
免费扫描
5分钟
无需修改代码
深受以下安全与工程团队的信赖:
等待的代价
这并非技术债务,而是主动风险敞口。
每推迟一个季度对产品生命周期末期(EOL)问题进行整改,影响范围就会扩大。漏洞数据层已然失效,当前的使用模式正使情况雪上加霜,而软件本身也在你脚下逐渐走向消亡。
第一阶段
数据缺口
64.5% 的 CVE 漏洞未被 NVD 评定等级。其中 46% 在 Sonatype 审查后被判定为“高危”或“严重”。您的扫描器显示的“无漏洞”结果是基于不完整的数据得出的。
第二阶段
无声的消费
仅在2025年,仅四个Java组件就产生了近18亿次本可避免的易受攻击的下载。版本一旦被锁定,就会被沿用多年——却无人核查该项目是否仍在维护中。
第3阶段
生态系统退化
已有超过 81,000 个包含已知 CVE 的软件包版本既已停止维护,又无法修复。HeroDevs 估计,在所有软件仓库中,这一数字实际上已超过 400,000 个。没有人会来修复它们。
第4阶段
不可避免的事件
2025年,将有4200万次存在安全漏洞的Log4j下载——距离补丁发布已过去三年。著名的漏洞最终会成为已废弃软件中挥之不去的阴影。安全债务终究会到期。
来源:Sonatype × HeroDevs —— 2026年软件供应链现状报告
您对已停止维护的开源软件或遗留框架的安全性有疑问吗?
我们的团队与受监管行业的工程、安全和合规领域的负责人展开合作。
申请演示
谢谢!您提交的材料已收到!
哎呀!提交表格时出了点问题。