Chainguard, la fuente confiable de código libre, tiene una visión única de cómo las organizaciones modernas consumen verdaderamente software de código libre y dónde corren riesgos y cargas operativas. A través de una almohadilla de clientes en crecimiento y un catálogo extenso de más de 1800 proyectos de imágenes de contenedores, 148 000 versiones, 290 000 imágenes y 100 000 bibliotecas de idiomas, y casi 500 millones de compilaciones, pueden ver lo que los equipos extraen, implementan y mantienen día a día, inmediato con las vulnerabilidades y las realidades de remediación que van de la mano.
Por eso crearon El estado del código libre confiableun pulso trimestral sobre la sujeción de suministro de software de código libre. Al analizar el uso ignorado de productos y los datos CVE, el equipo de Chainguard notó temas comunes en torno a lo que verdaderamente están construyendo los equipos de ingeniería de código libre y los riesgos asociados.
Esto es lo que encontraron:
- La IA está remodelando la pila básica: Python abrió el camino como la imagen de código libre más popular entre la almohadilla universal de clientes de Chainguard, impulsando la pila de IA moderna.
- Más de la centro de la producción se produce fuera de los proyectos más populares: La mayoría de los equipos pueden estandarizar un conjunto emparentado de imágenes, pero la infraestructura del mundo existente está impulsada por una amplia cartera que se extiende mucho más allá de las 20 más populares, a las que se refieren en este crónica como imágenes de culo larga.
- La popularidad no se corresponde con el aventura: El 98% de las vulnerabilidades encontradas y remediadas en las imágenes de Chainguard ocurrieron fuera de los 20 proyectos más populares. Eso significa que la anciano carga de seguridad se acumula en la parte menos visible de la pila, donde la aplicación de parches es más difícil de implementar.
- El cumplimiento puede ser el catalizador para la acto: El cumplimiento adopta muchas formas hoy en día: desde SBOM y requisitos de vulnerabilidad hasta marcos industriales como PCI DSS, SOC 2 y regulaciones como la Ley de Resiliencia Cibernética de la UE. FIPS es sólo un ejemplo, centrado específicamente en los estándares de enigmático federales de EE. UU. Aun así, el 44% de los clientes de Chainguard ejecutan una imagen FIPS en producción, lo que subraya la frecuencia con la que las deyección regulatorias dan forma a las decisiones de software del mundo existente.
- La confianza se friso en la velocidad de remediación: Chainguard eliminó los CVE críticos, en promedio, en menos de 20 horas.
Ayer de profundizar, una nota sobre la metodología: este crónica analiza más de 1800 proyectos de imágenes de contenedores únicos, 10,100 instancias de vulnerabilidad total y 154 CVE únicos rastreados desde el 1 de septiembre de 2025 hasta el 30 de noviembre de 2025. Cuando usamos términos como “20 proyectos principales” y “proyectos de culo larga” (según lo definen las imágenes fuera del 20 principal), nos referimos a patrones de uso reales observados en todo el cliente de Chainguard. cartera y en producción tira.
Uso: Qué equipos ejecutan verdaderamente en producción
Si se aleja, la huella de los contenedores de producción actuales se ve exactamente como se esperaría: los lenguajes fundamentales, los tiempos de ejecución y los componentes de infraestructura dominan la registro más popular.
Imágenes más populares: La IA está remodelando la pila de relato
En todas las regiones, las imágenes principales son principios básicos familiares: Python (71,7 % de los clientes), Node (56,5 %), nginx (40,1 %), go (33,5 %), redis (31,4 %), seguidos de JDK, JRE y un liga de herramientas centrales de observabilidad y plataforma como Grafana, Prometheus, Istio, cert-manager, argocd, ingress-nginx y kube-state-metrics.
Esto indica que los clientes operan una cartera de componentes básicos críticos (incluidos lenguajes, puertas de enlace, malla de servicios, monitoreo y controladores) que en conjunto forman la almohadilla de su negocio.
No es sorprendente ver a Python liderando el camino a nivel mundial, como el jerga adhesivo predeterminado para la pila de IA moderna. Los equipos suelen estandarizar Python para el mejora de modelos, canalizaciones de datos y, cada vez más, además para servicios de inferencia de producción.
Más popular por región: fundaciones similares, diferentes mezclas de culo larga
América del Ártico muestra un conjunto amplio y consistente de bloques de construcción de producción predeterminados: Python (71,7 % de los clientes), Node (56,6 %), nginx (39,8 %), go (31,9 %), redis (31,5 %), adicionalmente de una válido penetración de los componentes del ecosistema de Kubernetes (cert-manager, istio, argocd, prometheus, kube-state-metrics, node-exporter, kubectl). En particular, incluso las imágenes de utilidad, como el cuadro ocupado, se muestran significativamente.
Fuera de Norteamérica, aparece el mismo core stack, pero la cartera se distribuye de modo diferente: Python (72% de los clientes), Node (55,8%), Go (44,2%), nginx (41,9%) y una presencia importante de tiempos de ejecución .NET (aspnet-runtime, dotnet-runtime, dotnet-sdk) y PostgreSQL.
La larga culo de imágenes es crucial para la producción, no para los casos extremos
Las imágenes más populares de Chainguard representan sólo el 1,37% de todas las imágenes disponibles y representan aproximadamente la centro de todas las extracciones de contenedores. La otra centro del uso de producción proviene de otros lugares: 1.436 imágenes de culo larga que representan el 61,42% de la cartera de contenedores del cliente promedio.
En otras palabras, la centro de todas las cargas de trabajo de producción se ejecutan en imágenes de culo larga. Estos no son casos extremos. Son fundamentales para la infraestructura de los clientes de Chainguard. Es relativamente sencillo proseguir pulidas las mejores imágenes, pero lo que requiere el código libre confiable es proseguir esa seguridad y velocidad en todo lo que los clientes verdaderamente ejecutan.
Uso de FIPS: el cumplimiento es un catalizador para la acto
El enigmático FIPS es una tecnología esencial en el panorama del cumplimiento, centrada en satisfacer los requisitos de enigmático federales de EE. UU. Y ofrece una ventana útil a cómo la presión regulatoria impulsa la prohijamiento. Según los datos, el 44 % de los clientes ejecutan al menos una imagen FIPS en producción.
El patrón es consistente: cuando trabajan internamente de marcos de cumplimiento como FedRAMP, DoD IL-5, PCI DSS, SOC 2, CRA, Essential Eight o HIPAA, los equipos necesitan software de código libre confiable y reforzado que refleje sus cargas de trabajo comerciales. Las imágenes FIPS más utilizadas se alinean con la cartera más amplia, simplemente con módulos criptográficos reforzados para auditoría y demostración.
Los principales proyectos de imágenes FIPS incluyen Python-fips (62 % de los clientes con al menos una imagen FIPS en producción), Node-fips (50 %), nginx-fips (47,2 %), go-fips (33,8 %), redis-fips (33,1 %), adicionalmente de componentes de plataforma como istio-pilot-fips, istio-proxy-fips y variantes de cert-manager. Incluso aparecen bibliotecas de apoyo y fundaciones criptográficas, como glibc-openssl-fips.
FIPS no es toda la historia, pero ilustra una verdad más amplia: el cumplimiento es un factótum universal, lo que enfatiza la aprieto de un código libre confiable en toda la pila de software.
CVE: La popularidad no se corresponde con el aventura
Al observar el catálogo de imágenes de Chainguard, el aventura se concentra abrumadoramente fuera de las imágenes más populares. De los CVE Chainguard remediados en los últimos tres meses, 214 ocurrieron en las 20 imágenes principales, lo que representa solo el 2 % del total de CVE. Vaya más allá de esas imágenes principales y encontrará el otro 98% de CVE Chainguard corregidos (10,785 instancias de CVE). ¡Eso es 50 veces la cantidad de CVE en las 20 imágenes principales!
El anciano grosor de CVE se clasifica como Medio, pero la emergencia operativa a menudo surge de la prontitud con la que se abordan los CVE críticos y altos, y de si los clientes pueden aguardar en esa velocidad en todo su portafolio, no solo en las imágenes más comunes.
La confianza se friso en la velocidad de remediación
Para nosotros, la confianza se mide en el tiempo de reparación y Chainguard sabe que esto es lo más importante cuando se comercio de CVE críticos. Durante el período de tres meses analizado, el equipo de Chainguard logró un tiempo promedio de reparación de CVE críticos de menos de 20 horas: el 63,5 % de los CVE críticos se resolvieron en 24 horas, el 97,6 % en dos días y el 100 % en tres días.
Por otra parte de la corrección de CVE críticos, el equipo abordó CVE altos en 2,05 días, CVE medios en 2,5 días y CVE bajos en 3,05 días, notablemente más rápido que los SLA de Chainguard (siete días para CVE críticos y 14 días para CVE altos, medios y bajos).
Y esta velocidad no se limita a los paquetes más populares. Por cada CVE solucionado en un tesina de las 20 imágenes principales, resolvieron 50 CVE en imágenes menos populares.
Esa culo larga es donde se esconde la anciano parte de su exposición existente y puede resultar desesperado intentar seguir el ritmo. La mayoría de las organizaciones de ingeniería simplemente no pueden asignar capital para parchear vulnerabilidades en paquetes que quedan fuera de su pila central, pero los datos dejan claro que hay que proteger la “mayoría silenciosa” de su sujeción de suministro de software con el mismo rigor que sus cargas de trabajo más críticas.
Una nueva almohadilla para el código libre confiable
De todos los datos, se destaca una conclusión: el software flamante está impulsado por una cartera amplia y cambiante de componentes de código libre, la mayoría de los cuales se encuentran fuera del top 20 de imágenes más populares. Ahí no es donde los desarrolladores pasan su tiempo, pero es donde se acumula la anciano parte del aventura de seguridad y cumplimiento.
Esto crea una desconexión preocupante: es racional que los equipos de ingeniería se concentren en el pequeño conjunto de proyectos que más les importan a su pila, pero la anciano parte de la exposición se encuentra en el vasto conjunto de dependencias que no tienen tiempo para cuidar.
Por eso es importante la amplitud. Chainguard está diseñado para absorber la carga operativa del longtail, brindando cobertura y remediación a una escalera que los equipos individuales no pueden razonar por sí solos. A medida que las cadenas de suministro de código libre se vuelven más complejas, Chainguard continuará rastreando los patrones de uso y arrojando luz sobre dónde reside verdaderamente el aventura, para que no tenga que combatir solo contra la culo larga.
¿Preparado para comenzar con la fuente confiable de código libre? Póngase en contacto con Chainguard para obtener más información.
Nota: Este artículo fue escrito y contribuido de modo experta por Ed Sawma, vicepresidente de marketing de productos, Sasha Itkis, analista de productos.
