Quando se fala de software de código aberto fora de suporte, a conversa costuma ficar no óbvio: já não haverá adesivos. Essa verdade é real, mas insuficiente; há pelo menos duas falhas sistêmicas que multiplicam o risco muito além da ausência de atualizações.
O primeiro é uma falha de visibilidade: a cadeia de informação que alimenta scanners e feeds de CVE depende dos intervalos que os mantenedores declaram como “afectados”. Se uma versão EOL ficar fora desse intervalo, muitas ferramentas não irão verificar e seu tabuleiro permanecerá limpo, mesmo que o componente esteja vulnerável. Esta lacuna não é anecdótica: pesquisas industriais documentaram milhões de versões EOL nos registros públicos e dezenas de milhares de falsos negativos em detecção, o que aponta para que a superfície real de risco é muito maior que a que mostram os relatórios tradicionais ( Sonatype — State of the Software Supply Chain 2026).
O segundo problema é de métricas e fontes: a lista pública que muitas equipes usam como referência para “o que está EOL” cobre apenas uma fração da realidade. Fontes como endoflife.date recolhem centenas de projetos com datas anunciadas, mas ao analisar dezenas de milhões de versões publicadas em npm, PyPI, Maven, NuGet e outros registros, aparecem milhões de lançamentos abandonados que não figuram nesses catálogos básicos ( endoflife.date). Na prática, isto significa que as ferramentas clássicas de SCA e os exercícios de inventário subestimam sistematicamente a exposição real.
Outro fator que agrava a situação é a estrutura das dependências: a maioria das versões EOL tendem a estar nos níveis transitivos dos grafos de dependências. Uma equipe pode acreditar que suas bibliotecas top-level são suportadas e, no entanto, carregar centenas ou milhares de módulos transitivos sem suporte e sem cobertura investigativa. A consequência é clara: um único CVE em uma livraria popular pode ter um alcance efetivo maior do declarado porque versões antigas nunca foram explicitadas como afetadas.
Além disso, a chegada de ferramentas impulsionadas por IA que podem descobrir vulnerabilidades em escala muda a dinâmica. Esses sistemas acelerarão a identificação de erros em código que ninguém vigia, expondo versões EOL que nunca receberam pesquisa ou adesivo. O que acelera a defesa para software mantido pode simultaneamente ampliar o fosso para o software esquecido, porque esses achados nem sempre concordam com os intervalos afetados nos registros oficiais nem derivam em arranjos upstream.
Diante deste panorama, as organizações devem repensar sua gestão de riscos da dependência: a ausência de alertas não equivale a segurança. A primeira e prioritária acção é melhorar a visibilidade: gerar SBOMs precisas e executá-las contra fontes que incluam dados de abandono em escala, não apenas listas públicas limitadas. Integrar digitalizaçãos que identifiquem versões EOL tanto em dependências diretas como transitivas permite medir exposição real em vez de a assumir.
Mas a visibilidade não basta. É preciso transformar a descoberta em mitigação prática. Para componentes críticos sem caminho de adesivo upstream, convém avaliar opções como aplicar adesivos locais (backport), contratar suporte de terceiros, isolar o componente através de controlos de runtime, ou, se necessário, substituir ou retirar de produção as funcionalidades afectadas. Controlos compensatórios em produção —restrições de rede, regras de filtragem no perímetro, políticas de privilégios mínimos e protecção a nível de aplicação — reduzem a janela de exposição enquanto se obtém uma solução definitiva.
Na organização é importante formalizar políticas: definir tolerâncias ao risco por classe de componente, priorizar adesivos e migrações segundo impacto e exposição, e exigir validação de EOL em gates de CI/CD antes de promover artefatos à produção. Para projetos internos ou terceiros críticos, financiar manutenção a longo prazo ou apoiar forksLTS pode ser mais barato do que absorver um incidente
Finalmente, não externaize toda a responsabilidade ao ecossistema: Trata as datas de fim de vida como o momento em que a carga do risco é transferida do mantenedor para o operador. Adoptar uma mistura de ferramentas que incluam fontes ampliadas de EOL, monitorização contínua de CVE (por exemplo, através de bases de dados públicas como a NVD) e estratégias de mitigação técnica e contratual permite-lhe gerir a exposição sistémica em vez de reagir quando o problema já está explorável ( NVD — National Vulnerability Database).
A combinação de crescimento exponencial em lançamentos, dependência de pacotes transitivos e capacidade de IA para encontrar falhas expõe uma realidade desconfortável: muitos equipamentos já estão sobre uma base de software que não foi investigada a fundo. A boa notícia é que há alavancas concretas para reduzir o risco agora mesmo: inventário exaustivo, digitalização focado em EOL, priorização baseada em impacto, controles compensatórios e modelos de suporte que fechem o fosso entre o que os mantenedores cobrem e o que o seu negócio precisa proteger.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...