Chainguard, la fuente de referencia para el código abierto, tiene una perspectiva única sobre cómo las organizaciones modernas utilizan realmente el software de código abierto y dónde enfrentan riesgos y cargas operativas. Con una base de clientes en crecimiento y un catálogo extenso de más de 1800 proyectos de imágenes de contenedores, 148 000 versiones, 290 000 imágenes, 100 000 bibliotecas de idiomas y casi 500 millones de compilaciones, puede ver la realidad de lo que nuestros equipos extraen, implementan y mantienen a diario, y las vulnerabilidades y la solución que ello conlleva.
Por eso crearon «El estado del código abierto confiable», una actualización trimestral sobre la cadena de suministro de software de código abierto. Al analizar el uso anónimo de productos y los datos CVE, el equipo de Chainguard notó temas comunes en torno a lo que los equipos de ingeniería de código abierto realmente están construyendo y los riesgos asociados con ello.
Esto es lo que encontraron:
La IA está reconstruyendo la base de referencia. Python lidera el camino como la imagen de código abierto más popular entre la base global de clientes de Chainguard, impulsando su moderna pila de IA. Más de la mitad de la producción se desarrolla fuera de los proyectos más populares. Si bien la mayoría de los equipos pueden haber estandarizado un conjunto familiar de imágenes, las infraestructuras del mundo real están impulsadas por una amplia cartera que se extiende mucho más allá de las 20 más populares. En este informe, esta cartera se denomina imagen de cola larga. La popularidad no corresponde al riesgo. El 98% de las vulnerabilidades descubiertas y remediadas en las imágenes de Chainguard ocurrieron fuera de los 20 proyectos más populares. Esto significa que la mayor carga de seguridad se acumula en las partes menos visibles de la pila, donde la aplicación de parches es más difícil de implementar. El cumplimiento puede ser un llamado a la acción. El cumplimiento ahora adopta muchas formas, desde SBOM y requisitos de vulnerabilidad, hasta marcos industriales como PCI DSS y SOC 2, y regulaciones como la Ley de Resiliencia Cibernética de la UE. FIPS es sólo un ejemplo y se centra específicamente en el estándar federal de cifrado de EE. UU. Aun así, el 44% de los clientes de Chainguard ejecutan imágenes FIPS en producción, lo que pone de relieve con qué frecuencia las necesidades regulatorias dan forma a las decisiones de software del mundo real. La confianza se basa en la velocidad de reparación. Chainguard eliminó los CVE críticos en un promedio de 20 horas.
Antes de entrar en materia, una nota sobre la metodología: este informe analiza más de 1800 proyectos de imágenes de contenedores únicos, 10 100 instancias de vulnerabilidad total y 154 CVE únicos rastreados desde el 1 de septiembre de 2025 hasta el 30 de noviembre de 2025. Cuando utilizamos términos como «20 proyectos principales» o «proyectos de cola larga» (definidos por imágenes distintas de los 20 principales), nos referimos a los patrones de uso reales observados en todos los ámbitos. La cartera de clientes de Chainguard y sus atractivos en producción.
Uso: Lo que realmente hace su equipo en producción
Cuando se aleja, la huella del contenedor de producción actual se ve como se esperaba. Los lenguajes básicos, los tiempos de ejecución y los componentes de infraestructura dominan la lista más popular.
Imagen más popular: La IA reconstruye la pila de referencia
En todas las regiones, la imagen superior es un elemento básico bien conocido: Python (71,7 % de los clientes), Node (56,5 %), nginx (40,1 %), go (33,5 %), redis (31,4 %), seguido de JDK, JRE y un grupo de herramientas centrales de plataforma y observabilidad como Grafana, Prometheus, Istio, cert-manager y argocd. ingress-nginx y kube-state-metrics.
Esto indica que los clientes operan una cartera de componentes básicos críticos, como lenguajes, puertas de enlace, mallas de servicios, monitoreo y controladores, que en conjunto forman la base de su negocio.
No sorprende que Python esté liderando el camino como lenguaje adhesivo predeterminado para las pilas de IA modernas a nivel mundial. Los equipos suelen estandarizar Python para el desarrollo de modelos, canalizaciones de datos e incluso servicios de inferencia de producción.
Más popular por región: base similar, mezcla de cola larga diferente
América del Norte exhibe un conjunto amplio y consistente de componentes básicos de producción predeterminados, incluidos Python (71,7 % de los clientes), Node (56,6 %), nginx (39,8 %), go (31,9 %) y redis (31,5 %), así como componentes del ecosistema de Kubernetes. (cert-manager, istio, argocd, prometheus, kube-state-metrics, node-exporter, kuvector). En particular, incluso las imágenes de utilidad como BusyBox se muestran de forma significativa.
Fuera de Norteamérica, verá el mismo conjunto de núcleos, pero la distribución de la cartera será diferente. Se destacan Python (72% de los clientes), Node (55,8%), Go (44,2%), nginx (41,9%) y los tiempos de ejecución .NET (aspnet-runtime, dotnet-runtime, dotnet-sdk) y PostgreSQL.
Las colas largas en las imágenes son importantes para la producción, no para los casos extremos
La imagen más popular de Chainguard representa solo el 1,37% de todas las imágenes disponibles y aproximadamente la mitad de todas las extracciones de contenedores. La otra mitad del uso de producción proviene de otros lugares: 1.436 imágenes de cola larga, que representan el 61,42% de la cartera de contenedores del cliente medio.
Esto significa que la mitad de todas las cargas de trabajo de producción se ejecutan en imágenes de cola larga. Estos no son casos especiales. Estos son el núcleo de la infraestructura de clientes de Chainguard. Es relativamente fácil mantener pulidas algunas de las mejores imágenes, pero lo que necesita un código abierto confiable es mantener la seguridad y la velocidad en la amplia gama de cosas que los clientes realmente ejecutan.
Uso de FIPS: el cumplimiento es un catalizador para la acción
El cifrado FIPS es una tecnología esencial en entornos de cumplimiento y se centra en cumplir con los requisitos de cifrado federales de EE. UU. Y proporciona una ventana útil a cómo las presiones regulatorias impulsan la adopción. Los datos muestran que el 44 % de los clientes ejecutan al menos una imagen FIPS en producción.
El patrón es consistente. Cuando trabajan dentro de marcos de cumplimiento como FedRAMP, DoD IL-5, PCI DSS, SOC 2, CRA, Essential Eight e HIPAA, los equipos necesitan software de código abierto confiable y reforzado que refleje las cargas de trabajo comerciales. Las imágenes FIPS más utilizadas se combinan con una cartera más amplia con módulos criptográficos reforzados para auditoría y verificación.
Los principales proyectos de imágenes FIPS incluyen Python-fips (62% de los clientes tienen al menos una imagen FIPS en producción), Node-fips (50%), nginx-fips (47,2%), go-fips (33,8%), redis-fips (33,1%), así como plataformas como istio-pilot-fips, istio-proxy-fips y variantes de cert-manager. Contiene componentes. También se muestran bibliotecas de soporte e infraestructuras criptográficas como glibc-openssl-fips.
FIPS no es toda la historia, pero apunta a una verdad más amplia. El cumplimiento es un factor universal que destaca la necesidad de un código abierto confiable en toda la pila de software.
CVE: La popularidad no se corresponde con el riesgo
Si observamos todo el catálogo de imágenes de Chainguard, los riesgos se concentran abrumadoramente fuera de las imágenes más populares. De los CVE que Chainguard ha solucionado en los últimos tres meses, 214 ocurrieron en las 20 imágenes principales, lo que representa solo el 2 % de todos los CVE. Si observa más de cerca estas imágenes principales, encontrará el 98% restante de CVE (10,785 instancias de CVE) que Chainguard ha solucionado. Esto es 50 veces la cantidad de CVE en las 20 imágenes principales.
Si bien el mayor volumen de CVE se clasifica como «medio», la urgencia operativa a menudo depende de qué tan rápido se pueden abordar los CVE «críticos» y «altos», y si los clientes pueden confiar en esa velocidad en todo el portafolio, no solo en las imágenes más comunes.
La confianza se basa en la velocidad de reparación
Para nosotros, la confianza se mide en el tiempo para solucionarlo, y Chainguard sabe que esto es primordial cuando se trata de CVE críticos. Durante el período de tres meses analizado, el equipo de Chainguard redujo el tiempo promedio para remediar CVE críticos a menos de 20 horas, con el 63,5 % de los CVE críticos resueltos en 24 horas, el 97,6 % en 2 días y el 100 % en 3 días.
Además de corregir los CVE críticos, el equipo abordó los CVE altos en 2,05 días, los CVE medios en 2,5 días y los CVE bajos en 3,05 días. Esto fue significativamente más rápido que el SLA de Chainguard (7 días para CVE crítico y 14 días para CVE alto, medio y bajo).
Y esta velocidad no se limita a los paquetes más populares. Por cada CVE corregido en los 20 proyectos de imágenes principales, se resolvieron 50 CVE en imágenes menos populares.
Esta larga cola es donde se esconde la mayor parte de su exposición real, y puede resultar imposible mantenerse al día. La mayoría de las organizaciones de ingeniería no pueden asignar recursos para parchear vulnerabilidades en paquetes fuera de la pila central. Pero los datos son claros: la «mayoría silenciosa» de la cadena de suministro de software debe protegerse con el mismo rigor que las cargas de trabajo más críticas.
Una nueva base de código abierto confiable
Si analizamos los datos en su conjunto, una cosa es importante. Dicho esto, el software moderno utiliza una cartera amplia y cambiante de componentes de código abierto, la mayoría de los cuales existen fuera del top 20 de imágenes más populares. No es donde los desarrolladores pasan su tiempo, pero es donde se acumulan la mayoría de los riesgos de seguridad y cumplimiento.
Esto crea una desconexión preocupante. Si bien tiene sentido que los equipos de ingeniería se concentren en los pocos proyectos que son más importantes para su pila, la mayor parte de su exposición se encuentra en una gran cantidad de dependencias que no tienen tiempo para administrar.
Por eso el ancho es importante. Chainguard está diseñado para absorber cargas operativas de cola larga, brindando respuesta y remediación a una escala que los equipos individuales no pueden justificar por sí solos. A medida que las cadenas de suministro de código abierto se vuelven más complejas, Chainguard continúa rastreando los patrones de uso y arrojando luz sobre dónde existen realmente los riesgos. Así que no tienes que luchar solo contra el longtail.
¿Listo para comenzar a utilizar fuentes confiables de código abierto? Póngase en contacto con Chainguard para obtener más información.
Nota: Este artículo fue escrito y contribuido profesionalmente por Ed Sawma, vicepresidente de marketing de productos, y Sasha Itkis, analista de productos.
Source link
