2026西湖龙井茶官网DTC发售:茶农直供,政府溯源防伪到农户家
让我问你一个问题。
上一次你的漏洞扫描器标记出已停止支持(EOL)的运行时是什么时候?
不是通用漏洞披露(CVE)。不是已知的利用程序。只是——“嘿,这个运行时已经停止支持 383 天了,并且永远不会再收到任何安全补丁。”
如果你的答案是“从来没有”,那么你并不孤单。而这恰恰就是问题所在。
无人负责的缺口
在过去十年里,安全行业只在一件事上做得非常出色:在仍受支持的软件中发现已知漏洞。
Snyk、Mend、Sonatype、JFrog Xray、Dependabot。这些都是优秀的工具。它们扫描你的依赖项,对照通用漏洞披露(CVE)数据库进行检查,并告诉你哪些软件包存在已知漏洞。
但它们都有一个共同的盲点。
它们只检查供应商仍在提供补丁的软件中的漏洞。
当 Node.js 18 于 2025 年 4 月 30 日停止支持时,在该日期之后披露的每一个通用漏洞披露(CVE)都开始累积,且没有补丁路径。漏洞是公开的。列在国家漏洞数据库(NVD)中。按通用漏洞评分系统(CVSS)评级。通常在 GitHub 上有利用代码。而你的扫描器呢?干净。绿色。无警报。
这就是停止支持(EOL)的盲点。
为什么它比零日漏洞更危险
仔细想想这一点。
对于零日漏洞,尚无人知晓其存在。攻击者必须在防御者做出响应之前找到它、开发利用程序并部署它。时间窗口很窄。所需技能很高。
对于已停止支持(EOL)的软件,漏洞是公开知识。通用漏洞披露(CVE)已列出。通用漏洞评分系统(CVSS)分数已发布。利用代码在 GitHub 上。防御者无法修补它,因为不存在补丁。攻击者不需要复杂的研究——他们只需要一份已停止支持软件的列表和一份 Metasploit 的副本。
你的扫描器给已停止支持的软件出具了健康证明。攻击者确切地知道那里有什么。
这种不对称性使得已停止支持的软件具有独特的危险性。这不是攻击者知识上的缺口。这是防御者工具上的缺口。
为什么存在这个缺口
我对此思考了很多。这个盲点持续存在有四个真正的原因。
1. 它不够光鲜亮丽
零日漏洞能登上头条新闻。已停止支持的软件三年未打补丁则不会。没有人会把“Node.js 18 已停止支持 383 天”作为突发新闻来写。它是缓慢、无聊且累积的——这使得它更加危险,而不是不那么危险。安全行业追逐新奇。而停止支持与新奇截然相反。
2. 供应商没有动力去标记它
当你修复软件包漏洞时,Snyk 才能赚钱。他们没有经济动力告诉你“你的运行时已停止支持,我们的工具对此无能为力”。每个软件组成分析(SCA)供应商都是如此。这个盲点是结构性的,而非偶然的。能够标记它的工具,恰恰是那些从你不知情中受益的工具。
3. 责任落在团队之间的缝隙中
安全团队说已停止支持的运行时是运维问题。运维团队说已停止支持的运行时是安全问题。没有人负责运行时的生命周期。它掉进了两个部门之间的裂缝——而在这个裂缝中,Node.js 16 在未打补丁的情况下运行了两年。
4. 缺乏权威的参考依据
在 endoflife.ai 出现之前——你去哪里检查 Node.js 18 是否已停止支持并获得量化的风险评分?endoflife.date 有日期但没有评分。国家漏洞数据库(NVD)有通用漏洞披露(CVE)但没有停止支持状态。供应商文档分散且不一致。以前没有一个单一的权威来源说“这是评分,这是风险,这是该怎么做”。
最后一点是我决定采取行动的原因。
