บทเรียน Supply-Chain ที่ไม่มี CVE — Rocket.Chat ติดอยู่บน Node.js หมดอายุ จนการย้าย Meteor 3.0 ช่วยปลดล็อก

Rocket.Chat แพลตฟอร์มสื่อสารที่ได้รับการรับรอง DoD ATO ระดับ IL6 ติดอยู่บน Node.js 14 ที่หมดอายุตั้งแต่เมษายน 2566 เพราะเฟรมเวิร์ก Meteor ยังพึ่งไลบรารี node-fibers จนกระทั่ง Meteor 3.0 ออกในกรกฎาคม 2567 ถอด Fibers ย้ายไป async/await และรองรับ Node.js 20 กรณีนี้สะท้อนความเสี่ยง supply chain ที่ไม่มี CVE ไม่มี exploit แต่ runtime ที่ไม่มีการซัพพอร์ตสร้างความเสี่ยงด้าน audit แพตช์ และการเปิดเผยช่องโหว่ในระบบนิเวศปลายน้ำ
