Is end-of-life open source software illegal to use?

不，使用已停止维护（EOL）的开源软件并不违法。但是，使用未打补丁的软件可能会违反内部安全政策、监管要求或合同义务。

Can EOL software still receive CVEs?

是的。在产品生命周期结束（EOL）之后，仍然可以发现安全漏洞并为其分配 CVE 编号。区别在于上游项目不再提供修复程序。

Is upgrading always the best option after EOL?

升级是一种选择，但由于应用程序的复杂性、已弃用的 API 或业务限制，这种做法并不总是可行。

What alternatives exist to rewriting applications?

其他方案包括延长安全支持模式，该模式在保留现有 API 和行为的同时，提供已打补丁的 EOL 依赖项。

Does extended security support replace migration?

不。这将安全与现代化改造分离。组织可以在规划升级的同时，按照切合实际的时间表推进，并确保安全无虞。

产品生命周期结束（EOL）开源安全

“生命周期结束（EOL）”开源软件是指不再由其原始作者或社区维护的软件。在达到EOL后，将不再发布新的安全补丁、错误修复或官方更新。安全和维护的责任将完全转移给仍在运行该软件的组织。

什么是“生命周期结束”（EOL）开源软件？

“生命周期结束（EOL）”开源软件是指不再由其原始维护者或社区提供维护的软件。

EOL 并不意味着该软件无法继续运行。它意味着：

没有新的安全补丁
无错误修复
暂无官方更新

一旦软件达到产品生命周期终止（EOL）阶段，使用该软件的组织将对其安全状况承担全部责任。

为什么已停止维护的开源软件会构成安全风险？

EOL 软件存在安全风险，因为在上游停止发布补丁后，仍会不断发现漏洞。

当出现新漏洞时：

该漏洞仍可能获得 CVE 编号
该漏洞仍可被利用
原项目不会修复此问题

攻击者之所以积极针对已停用的组件发起攻击，是因为相关漏洞利用程序可以无限期地重复使用。随着时间的推移，风险不断累积，而防御手段却日益受限。

如果维护者停止发布补丁会发生什么？

当维护者停止发布补丁时：

漏洞披露可能会持续
仍可分配和记录 CVE
漏洞利用程序仍可被开发并用于攻击

是什么阻碍了修复工作？

运行该软件的组织必须：

接受风险
替换或升级该依赖项
独立获取并应用补丁

在受监管的环境中，未修补的漏洞通常会成为审计发现的问题。

产品生命周期结束如何影响开源安全决策

开源软件并非因为年代久远而变得风险重重，而是当维护停止时才会变得风险重重。

生命周期结束（EOL）是安全责任从开源社区转移至仍在运行该软件的组织之时的节点。从那一刻起，除非独立解决，否则每一个新发现的漏洞都将长期存在。

生命周期结束（EOL）状态是预测开源软件长期安全风险的最有力指标之一。

软件达到生命周期终止（EOL）后会发生什么？

停产后：

仍可发现漏洞并为其分配 CVE 编号
漏洞利用程序仍然可以被开发并重复使用
上游安全补丁完全停止发布

这会导致风险失衡。攻击者会随着时间推移获取新信息，而防御方却逐渐丧失官方的补救手段。此时，组织必须决定是消除风险、对风险进行补偿，还是接受风险。

产品生命周期结束（EOL）后有哪些选择？

组织通常有四种选择。

接受风险 
继续在未打补丁的情况下运行软件。这种情况很常见，但风险会随着时间推移而累积，并往往在后期以安全事件、审计发现或紧急迁移的形式显现。 
升级或迁移 
迁移至受支持的版本或替代方案。这可以消除产品生命周期结束（EOL）的风险，但通常需要进行大量重构、人员再培训，且耗时较长。 
重写应用程序 
完全重写将彻底消除该依赖关系。这是成本最高、风险最大的方案，且很少能按计划迅速完成。 
采用扩展安全支持 
部分组织会借助第三方维护者，继续为已停止维护（EOL）的开源软件提供补丁。在此模式下，该软件在上游仍处于已停止维护状态，但其漏洞会由第三方独立研究、修复，并以“即插即用”补丁的形式发布，这些补丁能保留现有的 API 和行为。这既恢复了补丁更新路径，又无需强制立即迁移。

为何此事的重要性不仅限于产品生命周期结束（EOL）的讨论

在开源领域，生命周期结束（EOL）并非特例，而是必然趋势。

每个开源依赖项最终都会迎来生命周期结束。安全问题不在于是否会发生这种情况，而在于组织在发生时如何应对。

成熟的开源安全策略应涵盖以下方面：

依赖项的生命周期，而不仅仅是版本
补丁的可用性，而不仅仅是漏洞数量
实际运营情况，而非理想化的升级路径

了解 EOL 是理解开源安全整体状况的关键。

什么是NEVER-ENDING SUPPORT (NES)？

Never-Ending Support (NES) 针对已停产（EOL）开源软件的扩展安全维护模式。

该方案提供持续的漏洞修复服务，无需重写应用程序、升级框架或更改 API。NES 在保持现有行为和兼容性的同时，为关键依赖项恢复了安全补丁更新流。

产品停产（EOL）后，我是否仍符合合规要求？

并非自动如此。

产品生命周期结束（EOL）状态并不会立即使软件不符合合规要求，但它确实会消除大多数安全和合规框架的一项关键要求：及时修复漏洞。

产品生命周期结束之后，将无法再获得上游补丁。如果存在漏洞或后续发现漏洞，组织必须证明已采取何种措施来缓解这些风险。

合规性取决于是否已实施替代控制措施。

为何产品生命周期结束会引发合规风险

大多数安全和监管框架并未强制要求使用特定的软件版本。相反，它们要求：

已知漏洞已被识别
及时安装安全补丁
未受支持的组件已得到修复，或已正式接受其风险

一旦软件达到生命周期终止（EOL）阶段，组织便无法再通过上游更新来满足这些期望。

未打补丁的 EOL 依赖项通常出现在：

渗透测试报告
第三方风险评估
SOC 2 和 ISO 审计发现

组织在产品生命周期结束后的合规维护

为了保持合规，组织通常会：

升级或替换已停产的依赖项
重构或重写受影响的应用程序
使用扩展安全支持来恢复已停产软件的补丁更新流

延长安全维护服务使组织能够在不破坏现有系统的情况下满足修复要求。