Why Didn't This Data Exist Before?

대부분의 패키지는 지원 종료(EOL)를 공식적으로 알리지 않습니다. 관리자들은 단순히 커밋을 중단할 뿐입니다. ‘이 패키지는 더 이상 유지되지 않습니다’라고 알리는 데는 정해진 기준이 없습니다. EOL 정보는 패키지 메타데이터에 포함되지 않습니다. 대부분의 관리자는 공지문을 올리지 않은 채 다른 일을 하러 떠나버리고, 패키지는 레지스트리에 영원히 남아 있게 됩니다. SCA 도구는 ‘CVE가 있나요?’라고 묻지만, ‘언젠가 수정본이 나올까요?’라고 묻지는 않습니다.

How does HeroDevs build the EOL dataset?

HeroDevs는 두 가지 신뢰할 수 있는 정보원을 활용합니다: 1) 유지보수 담당자, 재단 및 지원 정책 문서에서 발표한 공식 EOL(지원 종료) 선언, 그리고 2) 커밋 빈도, 릴리스 주기, 이슈 응답 시간, 다운로드 추세를 분석하여 방치된 패키지를 탐지하는 머신러닝 기반 시스템입니다. 모든 EOL 기록에는 CVE 취약점 데이터, 마이그레이션 경로 및 생태계 관련 정보가 상세히 포함되어 있습니다.

죽은 오픈소스 소프트웨어에 대한 완벽한 목록을 가진 사람은 아무도 없었습니다 . 그래서 우리가 직접 만들었습니다.

수많은 기업이 감사 과정이나 보안 침해 사고 발생 후, 즉 조치를 취하기에는 이미 너무 늦은 시점에 EOL(지원 종료) 위험을 발견하는 모습을 지켜보았습니다. 단순히 관련 데이터가 존재하지 않았기 때문입니다.

현재 HeroDevs EOL 데이터 세트는 모든 주요 레지스트리에 등록된 1,200만 개 이상의 패키지 버전에 대한 라이프사이클 상태를 추적하고 있습니다. 그 다음으로 규모가 큰 데이터 소스조차 약 7,000개 정도를 다루고 있을 뿐입니다.

데이터 살펴보기

파트너가 되어 주세요

900+

기업 고객

1,200만 명 이상

분석된 패키지 버전

1078+

해결된 CVE

3000+

조사 대상 기업 SBOM

이것만큼 특별한 건 없어요

기존의 데이터 소스들은 생태계의 일부만을 추적합니다. 우리는 생태계 전체를 추적합니다.

HeroDevs EOL 데이터 세트

12,000,000+

라이프사이클 상태가 확인된 1,200만 개 이상의 패키지 버전

패키지 저장소: npm · PyPI · Maven · NuGet · RubyGems · Go · Packagist · crates.io

생애 말기 날짜

~350

추적 중인 제품(패키지 버전은 제외)

NVD / CVE 데이터베이스

~7,000

EOL을 참조하는 CVE 레코드 — 구조화된 수명 주기 데이터 없음

그건 1,700배나 되는 차이입니다.

왜 이 데이터는 예전에는 없었을까?

대부분의 패키지는 지원 종료 시점을 공식적으로 알리지 않습니다. 관리자들은 단순히 커밋을 중단할 뿐입니다. 아무도 그 패키지가 더 이상 유지되지 않는다고 선언하지 않습니다. 그저 중단될 뿐입니다.

표준 없음

'이 기능은 더 이상 지원되지 않습니다'라고 알리는 데는 정해진 기준이 없습니다. EOL 정보는 패키지 메타데이터의 일부가 아닙니다.

유지 관리자의 방치

대부분의 유지보수자는 공지사항을 올리지 않습니다. 그들은 다른 일을 하러 떠납니다. 패키지는 레지스트리에 영원히 남아 있습니다.

SCA는 보이지 않는다

취약점 스캐너는 ‘CVE가 존재하는가?’라고 묻습니다. ‘언젠가 수정 패치가 나올 것인가?’라고 묻지는 않습니다.

개발 과정

두 가지 신뢰할 수 있는 정보원. 하나의 포괄적인 데이터 세트.

유지보수자가 확인함

공식 EOL 발표

패키지 관리자와 재단에서 발표하는 모든 공식 지원 종료 공지, 지원 정책 변경 사항 및 유지보수 현황 업데이트.

공식 프로젝트 발표

지원 정책 문서

재단의 수명 주기 관련 설명

출시 일정 관련 약속

기계 학습

유실된 소포 감지

모든 유지보수자가 EOL을 공지하는 것은 아닙니다. 당사의 머신러닝은 커밋 빈도, 릴리스 주기, 이슈 응답 시간, 다운로드 추세를 분석하여 유지보수자가 프로젝트를 방치했는지 여부를 파악합니다.

커밋 및 릴리스 빈도 분석

이슈 대응 패턴 탐지

트렌드 모델링 다운로드

유지 관리자 활동 신호

지속적인 역량 강화

CVE와 위험 간의 상관관계

모든 EOL 레코드에는 취약점 데이터, 마이그레이션 경로 및 생태계 관련 정보가 포함되어 있으며, 새로운 CVE가 공개될 때마다 지속적으로 업데이트됩니다.

CVE-패키지 매핑

CVSS 점수 통합

마이그레이션 경로 사용 가능 여부

생태계 건강 지표

당사의 방법론에 대해 자세히 알아보기

그런 데이터는 존재하지 않았습니다. 
저희가 직접 구축했습니다. 
이제 여러분의 것입니다.

데이터 세트를 살펴보고, 플랫폼에 통합하거나, 자체 스택을 스캔해 보세요.

문의하기

함께 EOL의 사각지대를 해소해 봅시다

81,000개 이상의 단종(EOL) 패키지에 알려진 CVE 취약점이 존재하며, 이를 해결할 방법이 없습니다. 귀사의 고객들이 위험에 노출되어 있습니다. 함께 해결해 봅시다.

HeroDevs의 파트너 생태계에 참여하여 1,200만 개 이상의 패키지 버전에 대한 가시성을 고객에게 제공해 주십시오 .

API 우선 통합 — 제품 내에서 지원 종료(EOL) 데이터를 제공하세요

모든 주요 레지스트리 및 생태계에 걸친 탐지

NES 드롭인 지원을 포함한 수정 경로

다음과 같은 업계 리더들이 신뢰하는 기업