.png)
Personne ne disposait d'une liste exhaustive des logiciels open source abandonnés. Nous en avons donc créé une.
Nous avons vu des centaines d'entreprises découvrir les risques liés à la fin de vie (EOL) à la dernière minute — lors d'audits, après des violations de sécurité, trop tard pour agir. Les données n'existaient tout simplement pas.
Aujourd'hui, l'ensemble de données EOL de HeroDevs suit le statut du cycle de vie de plus de 12 millions de versions de paquets dans tous les principaux registres. La source la plus proche n'en couvre qu'environ 7 000.
900+
clients professionnels
Plus de 12 millions
versions des paquets analysées
1078+
Vulnérabilités CVE corrigées
3000+
SBOM d'entreprise étudiées
Il n'y a rien de comparable
Les sources existantes ne couvrent qu'une partie de l'écosystème. Nous, nous le couvrons dans son intégralité.
Ensemble de données HeroDevs EOL
12,000,000+
Plus de 12 000 000 de versions de paquets dont le statut du cycle de vie est connu
Répertoires : npm · PyPI · Maven · NuGet · RubyGems · Go · Packagist · crates.io
date_de_fin_de_vie
~350
produits suivis (et non les versions des paquets)
Bases de données NVD / CVE
~7,000
Enregistrements CVE faisant référence à la fin de vie (EOL) — aucune donnée structurée sur le cycle de vie
Cela représente une différence de couverturede 1 700 fois, soit .
Pourquoi ces données n'existaient-elles pas auparavant ?
La plupart des paquets n'annoncent pas leur fin de vie. Les responsables cessent simplement d'y apporter des modifications. Personne ne déclare le paquet obsolète — il cesse simplement d'être mis à jour.
Aucune norme
Il n'existe pas de norme pour signaler qu'un produit est « obsolète ». Les informations relatives à la fin de vie ne font pas partie des métadonnées du paquet.
Abandon par le responsable de la maintenance
La plupart des responsables de paquets ne publient pas d'annonces. Ils passent à autre chose. Le paquet reste dans le registre pour toujours.
SCA ne semble pas
Les outils de détection des vulnérabilités se demandent : « Existe-t-il un CVE ? » Ils ne se demandent pas : « Y aura-t-il un jour un correctif ? »
Comment nous le construisons
Deux sources fiables. Un ensemble de données complet.
CERTIFIÉ PAR LE RESPONSABLE DE LA MAINTIEN
Déclarations officielles de fin de vie
Toutes les annonces officielles de fin de vie, les modifications des politiques de support et les mises à jour sur l'état de la maintenance publiées par les responsables de paquets et les fondations.
Annonces officielles concernant les projets
Documentation relative à la politique d'assistance
Déclarations relatives au cycle de vie de la fondation
Engagements relatifs au calendrier de lancement
APPRENTISSAGE AUTOMATIQUE
Détection des colis abandonnés
Tous les responsables de maintenance n'annoncent pas la fin de vie d'un produit. Notre liste de diffusion analyse la fréquence des commits, le rythme des publications, le temps de réponse aux tickets et les tendances de téléchargement afin de détecter les cas d'abandon par les responsables de maintenance.
Analyse de la fréquence des commits et des mises en production
Détection des schémas de réponse aux problèmes
Modélisation des tendances
Signaux d'activité du responsable de la maintenance
PERFECTIONNEMENT CONTINU
CVE et corrélation des risques
Chaque fiche de fin de vie est enrichie de données sur les vulnérabilités, de plans de migration et d'informations sur le contexte de l'écosystème — mises à jour en continu à mesure que de nouveaux CVE sont publiés.
Correspondance entre les CVE et les paquets
Intégration du système de notation CVSS
Disponibilité des parcours de migration
Indicateurs de la santé des écosystèmes
En savoir plus sur notre méthodologie
Ces données n'existaient pas.
Nous les avons créées.
Elles sont désormais à vous.
Explorez l'ensemble de données, intégrez-le à votre plateforme ou analysez votre propre infrastructure.
CONTACTEZ-NOUS
Comblons ensemble cette lacune en matière de fin de vie
Plus de 81 000 paquets en fin de vie (EOL) présentent des vulnérabilités CVE connues pour lesquelles aucun correctif n'est disponible. Vos clients sont exposés à des risques. Réglons cela ensemble
Rejoignez l'écosystème de partenaires de HeroDevs et offrez à vos clients une visibilité sur plus de 12 millions de versions de paquets.
Rejoignez l'écosystème de partenaires de HeroDevs et offrez à vos clients une visibilité sur plus de 12 millions de versions de paquets.
Intégration axée sur l'API — intégrez les données relatives à la fin de vie dans votre produit
Détection dans tous les principaux registres et écosystèmes
Procédures de correction, y compris la prise en charge directe de NES
Les leaders de l'industrie, tels que
Devenez notre partenaire
Nous vous remercions ! Votre demande a bien été reçue !
Oups ! Un problème s'est produit lors de l'envoi du formulaire.
Effectuez gratuitement une analyse de fin de vie
Téléchargez vos fichiers de dépendances ou utilisez notre interface CLI pour identifier en quelques minutes les logiciels open source non pris en charge ou en fin de vie.
Pas de configuration complexe. Pas de nouvelle plateforme. Juste une visibilité sur les logiciels en fin de vie.
Pas de configuration complexe. Pas de nouvelle plateforme. Juste une visibilité sur les logiciels en fin de vie.
Vous avez des questions concernant les logiciels libres en fin de vie ou la sécurisation des infrastructures héritées ?
Notre équipe collabore avec des responsables de l'ingénierie, de la sécurité et de la conformité dans divers secteurs réglementés.
Demander une démonstration
Nous vous remercions ! Votre demande a bien été reçue !
Oups ! Un problème s'est produit lors de l'envoi du formulaire.