Chainguard, la source open source de confiance, possède une vision unique de la manière dont les organisations modernes consomment réellement les logiciels open source et des domaines dans lesquels elles courent des risques et des charges opérationnels. Grâce à une base de clients croissante et à un catalogue étendu de plus de 1 800 projets d’images de conteneurs, 148 000 versions, 290 000 images et 100 000 bibliothèques de langages, et près de 500 millions de builds, ils peuvent voir ce que les équipes extraient, déploient et maintiennent chaque jour, ainsi que les vulnérabilités et les réalités de remédiation qui vont de pair.
C'est pourquoi ils ont créé L’état de l’Open Source de confianceune impulsion trimestrielle sur la chaîne d'approvisionnement des logiciels open source. Lors de l'analyse de l'utilisation anonyme des produits et des données CVE, l'équipe Chainguard a remarqué des thèmes communs autour de ce que les équipes d'ingénierie open source construisent réellement et des risques associés.
Voici ce qu'ils ont trouvé :
- L'IA remodèle la pile de base : Python a ouvert la voie en tant qu'image open source la plus populaire parmi la clientèle mondiale de Chainguard, alimentant la pile d'IA moderne.
- Plus de la moitié de la production se déroule en dehors des projets les plus populaires : La plupart des équipes peuvent standardiser sur un ensemble d'images familier, mais l'infrastructure du monde réel repose sur un large portefeuille qui s'étend bien au-delà des 20 images les plus populaires, appelées dans ce rapport images à longue traîne.
- La popularité ne correspond pas au risque : 98 % des vulnérabilités trouvées et corrigées dans les images Chainguard se sont produites en dehors des 20 projets les plus populaires. Cela signifie que la plus grande charge de sécurité s’accumule dans la partie la moins visible de la pile, là où les correctifs sont les plus difficiles à mettre en œuvre.
- La conformité peut être le catalyseur de l’action : La conformité prend aujourd'hui de nombreuses formes : des exigences SBOM et de vulnérabilité aux cadres industriels tels que PCI DSS, SOC 2 et aux réglementations telles que la loi européenne sur la cyber-résilience. FIPS n’est qu’un exemple, axé spécifiquement sur les normes de chiffrement fédérales américaines. Pourtant, 44 % des clients de Chainguard utilisent une image FIPS en production, ce qui souligne à quelle fréquence les besoins réglementaires façonnent les décisions logicielles réelles.
- La confiance repose sur la rapidité de la remédiation : Chainguard a supprimé les CVE critiques en moyenne en moins de 20 heures.
Avant de commencer, une note sur la méthodologie : ce rapport analyse plus de 1 800 projets d'images de conteneurs uniques, 10 100 instances de vulnérabilité au total et 154 CVE uniques suivis du 1er septembre 2025 au 30 novembre 2025. Lorsque nous utilisons des termes tels que « 20 projets les plus importants » et « projets à longue traîne » (tels que définis par des images en dehors du top 20), nous faisons référence aux modèles d'utilisation réels observés dans l'ensemble du client Chainguard. portefeuille et dans la production de bandes.
Utilisation : quelles machines fonctionnent réellement en production
En effectuant un zoom arrière, l'empreinte des conteneurs de production actuels ressemble exactement à ce à quoi on pourrait s'attendre : les langages fondamentaux, les environnements d'exécution et les composants d'infrastructure dominent la liste les plus populaires.
Images les plus populaires : l’IA remodèle la pile de référence
Dans toutes les régions, les principales images sont des éléments de base familiers : Python (71,7 % des clients), Node (56,5 %), nginx (40,1 %), go (33,5 %), redis (31,4 %), suivis par JDK, JRE et un groupe d'outils d'observabilité et de plate-forme de base tels que Grafana, Prometheus, Istio, cert-manager, argocd, ingress-nginx et kube-state-metrics.
Cela indique que les clients exploitent un portefeuille de composants essentiels (y compris les langages, les passerelles, le maillage de services, la surveillance et les contrôleurs) qui constituent ensemble la base de leur activité.
Il n'est pas surprenant de voir Python ouvrir la voie à l'échelle mondiale, en tant que langage persistant par défaut pour la pile d'IA moderne. Les équipes standardisent souvent Python pour le développement de modèles, les pipelines de données et, de plus en plus, pour les services d'inférence de production.
Les plus populaires par région : fondations similaires, différents mélanges à longue traîne
L'Amérique du Nord présente un ensemble vaste et cohérent de composants de production par défaut : Python (71,7 % des clients), Node (56,6 %), nginx (39,8 %), go (31,9 %), redis (31,5 %), ainsi qu'une forte pénétration des composants de l'écosystème Kubernetes (cert-manager, istio, argocd, prometheus, kube-state-metrics, node-exporter, kubectl). En particulier, même les images utilitaires, telles que la boîte occupée, sont affichées de manière significative.
Hors Amérique du Nord, le même core stack apparaît, mais le portefeuille est réparti différemment : Python (72% des clients), Node (55,8%), Go (44,2%), nginx (41,9%) et une présence notable des runtimes .NET (aspnet-runtime, dotnet-runtime, dotnet-sdk) et PostgreSQL.
Une longue file d'attente d'images est cruciale pour la production, pas pour les cas extrêmes
Les images Chainguard les plus populaires ne représentent que 1,37 % de toutes les images disponibles et représentent environ la moitié de tous les tirages de conteneurs. L'autre moitié de l'utilisation de la production vient d'ailleurs : 1 436 images longue traîne représentant 61,42 % du portefeuille de conteneurs du client moyen.
En d’autres termes, la moitié de toutes les charges de travail de production s’exécutent sur des images longue traîne. Ce ne sont pas des cas extrêmes. Ils sont essentiels à l’infrastructure des clients Chainguard. Il est relativement facile de conserver les meilleures images, mais ce qu'exige l'open source fiable, c'est de maintenir cette sécurité et cette rapidité dans tout ce que les clients exécutent réellement.
Utilisation de FIPS : la conformité est un catalyseur d'action
Le chiffrement FIPS est une technologie essentielle dans le paysage de la conformité, axée sur le respect des exigences fédérales américaines en matière de chiffrement, et offre une fenêtre utile sur la façon dont la pression réglementaire stimule l'adoption. Selon les données, 44 % des clients exécutent au moins une image FIPS en production.
Le modèle est cohérent : lorsqu'elles travaillent dans des cadres de conformité tels que FedRAMP, DoD IL-5, PCI DSS, SOC 2, CRA, Essential Eight ou HIPAA, les équipes ont besoin d'un logiciel open source fiable et renforcé qui reflète les charges de travail de leur entreprise. Les images FIPS les plus largement utilisées s'alignent sur le portefeuille plus large, simplement avec des modules cryptographiques renforcés pour l'audit et la vérification.
Les principaux projets d'images FIPS incluent Python-fips (62 % des clients ayant au moins une image FIPS en production), Node-fips (50 %), nginx-fips (47,2 %), go-fips (33,8 %), redis-fips (33,1 %), ainsi que des composants de plate-forme tels que istio-pilot-fips, istio-proxy-fips et des variantes de cert-manager. Même des bibliothèques de support et des fondations cryptographiques apparaissent, telles que glibc-openssl-fips.
FIPS ne représente pas tout, mais il illustre une vérité plus large : la conformité est un facteur universel, soulignant la nécessité d'un open source fiable dans l'ensemble de la pile logicielle.
CVE : la popularité n’est pas à la hauteur du risque
Lorsque l’on examine le catalogue d’images de Chainguard, le risque est majoritairement concentré en dehors des images les plus populaires. Parmi les CVE Chainguard corrigés au cours des trois derniers mois, 214 se sont produits dans les 20 premières images, ce qui représente seulement 2 % du total des CVE. Allez au-delà de ces images principales et vous constaterez que les 98 % restants des CVE Chainguard sont corrigés (10 785 instances CVE). Cela représente 50 fois le nombre de CVE dans les 20 meilleures images !
Le volume le plus élevé de CVE est classé comme moyen, mais l'urgence opérationnelle découle souvent de la rapidité avec laquelle les CVE critiques et élevés sont traités, et de la question de savoir si les clients peuvent compter sur cette vitesse pour l'ensemble de leur portefeuille, et pas seulement pour les images les plus courantes.
La confiance repose sur la rapidité de la remédiation
Pour nous, la confiance se mesure en termes de temps de réparation et Chainguard sait que c'est le plus important lorsqu'il s'agit de CVE critiques. Au cours de la période de trois mois analysée, l'équipe Chainguard a atteint un temps moyen de correction des CVE critiques inférieur à 20 heures : 63,5 % des CVE critiques ont été résolus en 24 heures, 97,6 % en deux jours et 100 % en trois jours.
En plus de corriger les CVE critiques, l'équipe a traité les CVE élevés en 2,05 jours, les CVE moyens en 2,5 jours et les CVE faibles en 3,05 jours, ce qui est nettement plus rapide que les SLA de Chainguard (sept jours pour les CVE critiques et 14 jours pour les CVE élevés, moyens et faibles).
Et cette vitesse ne se limite pas aux forfaits les plus populaires. Pour chaque CVE corrigé dans un projet dans les 20 meilleures images, ils ont résolu 50 CVE dans des images moins populaires.
C’est dans cette longue traîne que se cache la majeure partie de votre véritable exposition et il peut être désespéré d’essayer de suivre le rythme. La plupart des organisations d'ingénierie ne peuvent tout simplement pas allouer de ressources pour corriger les vulnérabilités des packages qui ne relèvent pas de leur pile principale, mais les données montrent clairement que la « majorité silencieuse » de leur chaîne d'approvisionnement logicielle doit être protégée avec la même rigueur que leurs charges de travail les plus critiques.
Une nouvelle base pour un open source fiable
De toutes les données, une conclusion se dégage : les logiciels modernes sont alimentés par un portefeuille vaste et changeant de composants open source, dont la plupart ne figurent pas dans le top 20 des images les plus populaires. Ce n’est pas là que les développeurs passent leur temps, mais c’est là que s’accumulent la plupart des risques en matière de sécurité et de conformité.
Cela crée un décalage inquiétant : il est rationnel pour les équipes d'ingénierie de se concentrer sur le petit ensemble de projets qui comptent le plus pour leur pile, mais l'essentiel de l'exposition réside dans le vaste ensemble de dépendances qu'elles n'ont pas le temps de gérer.
C'est pourquoi la largeur est importante. Chainguard est conçu pour absorber la charge opérationnelle du longtail, offrant une couverture et des mesures correctives à une échelle que les équipes individuelles ne peuvent justifier à elles seules. À mesure que les chaînes d'approvisionnement open source deviennent plus complexes, Chainguard continuera à suivre les modèles d'utilisation et à faire la lumière sur les risques réels, afin que vous n'ayez pas à lutter seul contre la longue traîne.
Prêt à vous lancer avec l'open source de confiance ? Contactez Chainguard pour plus d’informations.
Note: Cet article a été rédigé et rédigé de manière experte par Ed Sawma, vice-président du marketing produit, et Sasha Itkis, analyste produit.