Les équipes de sécurité associent souvent les logiciels open source en fin de vie, ou EOL pour end-of-life, à l’absence de correctifs. Cette vision reste incomplète et masque des risques plus graves.
Les failles CVE ignorent les versions en fin de vie
Les responsables de projets open source définissent les versions impactées par une vulnérabilité lors de la déclaration d’un CVE. Tous les outils de scan, générateurs de SBOM et flux de CVE se basent sur cette plage.
Une version hors de cette plage échappe aux alertes, non par sécurité, mais faute d’analyse. Les versions EOL échappent systématiquement à ces enquêtes en raison d’un manque de ressources. Selon le rapport Sonatype 2026 State of the Software Supply Chain, le nombre mondial de CVE a doublé en cinq ans, tandis que les CVE non notés ont multiplié par 37.
Les mainteneurs, submergés, priorisent les versions actives. Le rapport de Sonatype identifie les versions EOL omises des avis comme cause de 167 286 faux négatifs en 2025, des composants exploitables passés inaperçus.
Exemples concrets dans l’écosystème Spring
La vulnérabilité CVE-2026-22732 dans Spring Security (critique, mars 2026, score CVSS 9,1) supprime silencieusement des en-têtes de sécurité comme Cache-Control, X-Frame-Options, Strict-Transport-Security et Content-Security-Policy dans certaines configurations de servlets. La plage officielle concerne Spring Security de 5.7.x à 7.0.x.
La branche 6.2.x, arrivée en EOL en décembre 2025 et incluse dans Spring Boot 3.2, n’apparaît pas dans la liste. Les organisations utilisant cette version, un pas en retrait, ne reçoivent aucune alerte des scanners.
Ce schéma se répète fréquemment : environ 80 % des CVE sur versions maintenues impactent aussi des versions EOL non recensées, sans signalement par les outils.
L’ampleur réelle des logiciels en fin de vie sous-estimée
La source principale, endoflife.date, suit 350 projets majeurs pour environ 7 000 versions EOL. Le rapport Sonatype 2026, basé sur 12 millions de versions dans npm, PyPI, Maven, NuGet, RubyGems, Go, Packagist et crates.io, révèle 5,4 millions de versions EOL.
La répartition varie : 25 % pour npm, 18 % pour NuGet, 13 % pour Cargo, 11 % pour PyPI et 10 % pour Maven Central. Entre 5 et 15 % des composants dans les graphes de dépendances d’entreprises sont EOL, surtout via les dépendances transitives.
Plus de 81 000 versions EOL portent des CVE connus sans correctif. Compte tenu des 80 % de chevauchements non investigués, le total pourrait dépasser 400 000.
Une dégradation accélérée par la croissance et l’IA
L’écosystème open source explose : npm a enregistré plus de 838 000 sorties avec scores CVSS 9.0+ en 2025, et les téléchargements PyPI ont bondi de 50 %.
L’IA amplifie le problème. En avril 2026, Anthropic a lancé le Project Glasswing avec Claude Mythos Preview, capable de détecter des vulnérabilités zero-day dans tous les systèmes d’exploitation et navigateurs majeurs, y compris des failles anciennes.
Pour les logiciels maintenus, cela accélère les correctifs. Pour les versions EOL, ces découvertes restent sans suite, sans alerte ni patch, élargissant l’écart d’exposition.