Giriş
Son yıllarda açık kaynak yazılımlarında sonlandırma (EOL) durumu, güvenlik ekipleri için büyük bir tehdit oluşturmaktadır. EOL yazılımlar için güncellemelerin durması, her alanda keşfedilmeyen ciddi güvenlik açıklarının ortaya çıkmasına neden olmaktadır.
Sorun Bir: CVE Ekosisteminin Dikkat Etmediği Desteklenmeyen Yazılımlar
Açık kaynak projelerinde bir güvenlik açığı keşfedildiğinde, bakımcılar etkilenen versiyonları belirleyip bir CVE (Common Vulnerabilities and Exposures) kaydı oluşturur. Ancak, eğer versiyonunuz bu kaydın dışında kalıyorsa, alarm almazsınız; çünkü kimse durumu kontrol etmemiştir.
- EOL versiyonları, çoğu zaman öngörülemeyen biçimde bu aralığın dışına çıkar.
- Güvenlik tarayıcılara, SBOM araçları ve CVE beslemeleri çoğunlukla sadece desteklenen sürümlere odaklanır.
Son yıllarda, global CVE sayısı iki katına çıkarken, notlandırılmamış CVE sayısında %3700’lük bir artış olmuştur. Bakımcılar, aktif olarak destekledikleri sürümler üzerinde çalışmaktayken, eski sürümleri inceleme kapasitesi yok denecek kadar azdır.
Sonuç olarak, Sonatype’ın araştırması, “EOL versiyonların tavsiye belgelerinde yer almaması” durumunu, 2025 yılında 167,286 sahte güvenlik negatifine yol açan bir faktör olarak belirtmiştir.
Uygulamada Nasıl Görünüyor?
Yazılım ekosisteminde karşılaşılan iki kritik güvenlik açığı, durumu netleştirmektedir.
CVE-2026-22732 — Spring Security (Kritik, Mart 2026, CVSS 9.1)
- Bu güvenlik açığı, belirli servlet uygulama yapılandırmalarında güvenlik yanıt başlıklarının (örneğin, Cache-Control, X-Frame-Options) sessizce düşmesine neden olmaktadır.
- Resmi etkilenen aralık, Spring Security 5.7.x ile 7.0.x arasındadır.
- Spring Security 6.2.x, EOL’a ulaştığı için listelenmemiştir ve bu nedenle, bu sürümü kullanan organizasyonlar tarayıcıları tarafından alarm almaz.
HeroDevs, Spring Security 6.2.x’in etkilendiğini doğrulamış ve düzeltme işlemi gerçekleştirmiştir. Ancak resmi CVE kaydında bu bilgi yer almamaktadır.
Sorun İki: Yanlış EOL Yazılımlarının Sayılması
CVE inceleme eksikliği, bilinen EOL yazılımları için geçerlidir. Ancak, gerçek sorun bunun çok daha küçük bir kısmından oluşmaktadır. endoflife.date, topluluk tarafından bilinen end of life (EOL) tarihlerini takip eden çok az projeden biridir.
Sonatype 2026 Yazılım Tedarik Zinciri Raporu, 12 milyondan fazla paket versiyonunu analiz ederek 5.4 milyon versiyonun EOL olduğunu ortaya koymuştur. Fakat endoflife.date sadece ~7,000’lik bir sayı ile sınırlıdır.
- NPM paket versiyonlarının yaklaşık %25’i EOL’dır.
- NuGet’te bu oran %18, Cargo’da %13, PyPI’de %11 ve Maven Central’da %10’dur.
HeroDevs, 81,000’den fazla EOL paket versiyonunun bilinen CVE‘lerle envanterinin tutulduğunu doğrulamıştır. Gerçek sayı muhtemelen 400,000+‘e kadar çıkmaktadır.
Neden Durum Kötüleşiyor?
Güvenlik altyapısının, OSS ekosistemi ile birlikte ölçeklenememesi sorunu gün geçtikçe büyümektedir. 2025 yılının sadece NPM ile bağlantılı olarak, kritik CVSS 9.0+ puanlarına sahip 838,000’in üzerinde sürüm kaydedilmiştir.
Tüm yeni paket versiyonları, gelecekte EOL versiyonları haline gelmektedir. AI tabanlı güvenlik araştırmaları ise bu durumu daha da kötüleştirebilir. EOL yazılımlar için potansiyel tehditler keşfedildiğinde, bunlar hiçbir bakımcı tarafından izlenmeyecektir.
Çözüm ve Korunma
EOL durumunuzu belirlemek için hemen bir görünürlük sağlamanız gerekmektedir. HeroDevs, ücretsiz bir EOL taraması sunmaktadır.
- Bağımlılık dosyalarınızı yükleyin veya CLI kullanarak %100 güvenilir bir tarama yapın.
- Tarayıcı sessizliğini güvenlik olarak algılamayın; çünkü bu, paketin kontrol edilmediği anlamına gelir.
Sonuç olarak, EOL tarihlerinin geçerli bir son tarih olmadığı ve ciddi riskleri beraberinde getirdiği unutulmamalıdır.
Güncellemelerinizi geciktirmeyin; bugün bir EOL taraması gerçekleştirin ve yazılımlarınızı koruma altına alın.
