メンテナンスされていないソフトウェアにはパッチを当てることができません。

81,000件以上のパッケージに既知のCVEが存在し、修正パッチは提供されていません。SCAはこの脆弱性を検出します。EOL DSは、そのソフトウェアがサポート終了（EOL）であることを通知します。

無料スキャン

5分

コードの変更なし

待つことの代償

EOL（サポート終了）への対応を四半期ごとに先送りするたびに、その影響範囲は拡大していきます。脆弱性データの基盤は崩壊しており、利用の実態が事態をさらに悪化させており、ソフトウェアそのものが目の前で機能しなくなっています。

ステージ1

データの欠落

CVEの64.5%はNVDによって評価されていません。そのうち46%は、Sonatypeによる審査の結果、「High」または「Critical」と判定されています。お使いのスキャナーが示す「問題なし」という結果は、不完全なデータに基づいているのです。

ステージ2

静かな消費

2025年には、わずか4つのJavaコンポーネントだけで、回避可能な脆弱性を含むダウンロードが約18億件に上ると見込まれています。一度バージョンが固定されると、それが何年も使い続けられ、プロジェクトがまだ存続しているかどうかを確認する者は誰もいません。

ステージ3

生態系の衰退

既知のCVEが存在する81,000以上のパッケージバージョンは、サポート終了（EOL）かつ修正不可能な状態にあります。HeroDevsの推計によると、すべてのレジストリを合わせると、この数は実際には40万以上に上るとされています。これらを修正してくれる者は誰もいません。

ステージ4

避けられない出来事

2025年には、パッチが公開されてから3年が経過したにもかかわらず、4,200万件もの脆弱性を含むLog4jがダウンロードされる見込みだ。有名な脆弱性は、もはや使われなくなったソフトウェアに恒久的に残ってしまう。負債はいつかは必ず返済の時が来るものだ。

出典：Sonatype × HeroDevs — 2026年ソフトウェア・サプライチェーンの現状

多くの企業では、依存関係の5～15％がEOL（サポート終了）であることが判明しています。