Sist oppdatert: 30. juni 2026
«Siden funker jo fint.» Det er den vanligste innvendingen mot å bruke penger på teknisk vedlikehold, og den er både sann og irrelevant på samme tid. For at noe virker, sier ingenting om hvorvidt det er trygt.
Programvare har nemlig noe til felles med mat: den går ut på dato. Ikke fordi den slutter å fungere, men fordi den slutter å bli passet på.
Hva «end of life» faktisk betyr
Alt en nettside eller webapplikasjon er bygget på (kjøremiljøet, rammeverkene, databasene, bibliotekene) har en definert levetid. Utgiverne lover sikkerhetsoppdateringer i en periode, typisk noen år. Så kommer datoen der støtten opphører. På fagspråket heter det «end of life», eller EOL.
Fra den dagen skjer det noe viktig: nye sikkerhetshull som oppdages, blir aldri tettet. Koden kjører videre som før. Siden ser identisk ut. Men hvert nye sårbarhet som blir kjent, forblir åpent, for alltid.
2026 er et stort utløpsår
Dette er ikke teori. 30. april i år nådde Node.js 20 sin sluttdato. Dette er kjøremiljøet bak en stor andel av verdens web-backender. Ingen sikkerhetsoppdateringer lenger, uansett hva som oppdages. Og Node 20 er bare ett av rundt femti store produkter som når slutten av livsløpet i 2026, sammen med blant andre Java 17 og MySQL 8.0.
Samtidig kjører fortsatt et stort antall nettsider der ute på teknologi som gikk ut på dato for lenge siden — PHP-versjoner som mistet støtten i 2022, Node-versjoner som mistet den i fjor. Eierne merker ingenting. Sidene laster som før. Det er nettopp det som gjør problemet lumskt.
Hvorfor angripere elsker utdatert programvare
Når et sikkerhetshull i en utbredt teknologi blir offentlig kjent, skjer to ting samtidig: de støttede versjonene får en oppdatering som tetter hullet, og angripere begynner å skanne internett etter systemer som ikke har fått den.
Skanningen er automatisert og global. Den bryr seg ikke om bedriften din er stor eller liten, kjent eller ukjent. Den leter bare etter én ting: kjente hull som aldri ble tettet. En nettside på utdatert fundament er per definisjon på den listen, og blir stående der, fordi det aldri kommer noen oppdatering.
Og skulle det gå galt, er det bedriften din som står med ansvaret. Et datainnbrudd via et kjent, uoppdatert sikkerhetshull er vanskelig å forsvare, både overfor kundene og opp mot personvernregelverket.
Ser lik ut ≠ er like trygg
Her er kjernen i det hele: en nettside kan stå urørt i tre år og se helt lik ut for besøkende, mens fundamentet under har gått fra støttet og trygt til usupportert og eksponert. Ingenting synlig har endret seg. Alt vesentlig har det.
Vi har skrevet før om at en nettside aldri er ferdig: innhold, design og funksjoner må utvikles i takt med bedriften. Dette er den andre, mer usynlige halvdelen av samme sannhet: selv om du ikke endrer noe som helst, endrer verden seg rundt koden din. Teknisk vedlikehold er ikke det samme som å pusse opp. Det er å skifte olje.
Hva teknisk vedlikehold faktisk innebærer
Konkret handler det om ting som dette:
- Oppgradering av kjøremiljøer før de når sluttdatoen, planlagt og testet, ikke i panikk etterpå.
- Jevnlig oppdatering av avhengigheter og rammeverk, med testing som bekrefter at alt fortsatt fungerer.
- Overvåking som fanger opp når en komponent i løsningen får kjente sårbarheter.
- Et menneske med ansvar som faktisk vet hvilke versjoner løsningen din kjører på, og når de går ut.
Dette er kjernen i en fornuftig drifts- og vedlikeholdsavtale, og det gjelder backend like mye som det synlige.
Spørsmålene å stille
Vet du hvilke versjoner nettsiden din kjører på i dag? De færreste gjør det, og det er greit. Men noen bør vite det. Spør leverandøren din:
- Hvilke kjøremiljøer og rammeverk kjører løsningen vår på, og når når de end of life?
- Hvem har ansvaret for å oppgradere før den datoen, og er det en del av avtalen vår?
- Når ble fundamentet sist oppgradert?
Hvis svaret på det siste er «aldri» eller «vet ikke», har du ikke et akutt problem, men du har en dato i kalenderen som kommer nærmere for hver dag. Forskjellen på god og dårlig drift er om noen ser den komme.