L’angle mort des fins de support dans votre flux CVE : Ce que ratent les outils SCA

L'angle mort EOL dans votre flux CVE : Ce que les outils SCA ne vérifient pas

Les équipes de sécurité associent souvent les logiciels open source en fin de vie, ou EOL, à l’absence de correctifs. Cette vision reste incomplète et minimise les risques réels, car deux difficultés s’accumulent sans que la plupart des organisations en aient conscience.

L’écosystème des CVE ignore les versions non prises en charge

Les responsables de projets open source identifient les versions impactées par une faille et publient un CVE avec une plage précise. Tous les outils de scan de vulnérabilités, générateurs de SBOM et flux de CVE s’appuient sur ces informations.

Si une version échappe à cette plage, aucun avertissement n’apparaît, non par sécurité avérée, mais faute d’examen. Les versions EOL échappent systématiquement à ces analyses en raison d’un problème d’échelle : le nombre mondial de CVE a doublé en cinq ans, tandis que les CVE non notés ont multiplié par 37, selon le rapport Sonatype 2026 State of the Software Supply Chain.

Les mainteneurs, submergés par les versions actives, manquent de ressources pour couvrir les anciennes branches. Le rapport Sonatype pointe les versions EOL omises des avis comme source de faux négatifs, avec 167 286 composants exploitables non détectés en 2025.

Exemple concret avec Spring Security

La faille CVE-2026-22732 dans Spring Security (critique, score CVSS 9.1, mars 2026) supprime silencieusement des en-têtes de sécurité comme Cache-Control ou Strict-Transport-Security dans certaines configurations de servlets. La plage officielle concerne les versions 5.7.x à 7.0.x.

La branche 6.2.x, arrivée en EOL en décembre 2025 et incluse dans Spring Boot 3.2, n’apparaît pas dans la liste. Aucune alerte de scanner ne signale le risque pour les organisations utilisant cette version, pourtant vulnérable.

Une occurrence fréquente

Ce schéma se répète souvent. Près de 80 % des CVE publiés sur des versions maintenues impactent aussi des versions EOL non répertoriées, échappant à tous les scanners.

L’industrie sous-estime l’ampleur des logiciels EOL

La source principale de données EOL, endoflife.date, suit environ 350 projets majeurs et 7 000 versions spécifiques. Cette base reste limitée face à la réalité.

Sur 12 millions de versions de paquets analysées dans npm, PyPI, Maven, NuGet, RubyGems, Go, Packagist et crates.io, 5,4 millions sont en EOL, selon le rapport Sonatype 2026. Parmi elles, npm affiche 25 % de versions EOL, NuGet 18 %, Cargo 13 %, PyPI 11 % et Maven Central 10 %.

Dans les graphes de dépendances d’entreprises, 5 à 15 % des composants sont EOL, surtout via des dépendances transitives. Plus de 81 000 versions EOL comportent des CVE connus sans correctif disponible. Compte tenu du taux de 80 % d’impacts non investigués, le total pourrait dépasser 400 000.

Une dégradation accélérée

L’écosystème open source explose : npm a enregistré plus de 838 000 sorties avec scores CVSS 9.0+ en 2025, et les téléchargements PyPI ont bondi de 50 %. Chaque nouvelle version deviendra un jour EOL sans capacité d’analyse accrue.

L’IA aggrave la situation. En avril 2026, Anthropic a lancé le Project Glasswing avec Claude Mythos Preview, capable de détecter des zero-days indétectés depuis des décennies sur tous les OS et navigateurs majeurs. Si cela bénéficie aux logiciels maintenus, les failles dans les versions EOL resteront sans patch ni alerte, élargissant l’écart de vulnérabilité.