Der Status von vertrauenswürdiger Open Source: März 2026
Im Dezember 2025 haben wir den allerersten Bericht zum „Status von vertrauenswürdiger Open Source“ veröffentlicht. Er enthielt Erkenntnisse aus unseren Produktdaten und unserer Kundenbasis über die Nutzung von Open Source in unserem Katalog von Container-Image-Projekten, Versionen, Images, Sprachbibliotheken und Builds. Diese Erkenntnisse beleuchten, was Teams täglich abrufen, bereitstellen und warten, sowie die Schwachstellen und die Realität der Fehlerbehebung, mit denen diese Projekte konfrontiert sind.
Ein paar Monate später beschleunigt sich die Softwareentwicklung in einem Tempo, das die meisten nicht vorhergesehen haben. KI wird zunehmend in den gesamten Entwicklungslebenszyklus integriert, von der Codegenerierung bis zur Infrastrukturautomatisierung, da Modelle immer fortschrittlicher werden und die Anforderungen moderner Arbeit besser erfüllen. Diese Verschiebung erweitert das, was Teams bauen können, und wie schnell sie es bereitstellen können.
Sie verändert auch die Sicherheitslandschaft.
Bevor wir in die Zahlen eintauchen, ist es wichtig zu erklären, wie wir diese Analyse durchführen. Wir haben vom 1. Dezember 2025 bis zum 28. Februar 2026 über 2.200 einzigartige Container-Image-Projekte, insgesamt 33.931 Schwachstelleninstanzen und 377 einzigartige CVEs untersucht. Wenn wir Begriffe wie „Top 20 Projekte“ und „Long-Tail-Projekte“ (definiert als Images außerhalb der Top 20) verwenden, beziehen wir uns auf tatsächliche Nutzungsmuster, die in unserem Kundenportfolio und bei Produktionsabrufen beobachtet wurden.
In diesem Bericht haben wir einige neue Themen festgestellt, die auf diese Verschiebung hindeuten. Diese Themen bauten auf den Trends unseres letzten Berichts auf und verdeutlichen letztendlich die Auswirkungen der verstärkten KI-gesteuerten Entwicklung, sowohl bei den Arten der verwendeten Container-Images als auch bei der Anzahl der entdeckten und behobenen CVEs:
Das Wachstum von Python und PostgreSQL spiegelt die KI-gesteuerte Entwicklung wider: Python bleibt das beliebteste Image (72,1 % aller Kunden nutzen es), und PostgreSQL verzeichnete einen Anstieg der Nutzung um 73 % gegenüber dem Vorquartal, was die wachsende Einführung eines modernen KI-Stacks für verschiedene Anwendungsfälle unterstreicht.
Der moderne Plattform-Stack wird zunehmend standardisiert: Bei Chainguard-Kunden machen Sprach-Ökosystem-Images mehr als die Hälfte der Top-25-Images aus, die in der Produktion verwendet werden.
Chainguard Base wird zur Grundlage für Entwicklertools: Das chainguard-base-Image, ein minimales distroless Basis-Image ohne Toolchain oder Apps, war das am fünfthäufigsten verwendete Chainguard-Image, da Kunden es als eine Art „Werkzeuggürtel“ für ihre spezifischen Anwendungsfälle nutzen (über 75 % der Chainguard-Kunden passen mindestens ein Image an).
KI beschleunigt die Softwareentwicklung und die Entdeckung von Schwachstellen: Wir haben über 300 % mehr Korrekturen in Chainguard-Containern angewendet und einen Anstieg der Schwachstellen um 145 % gegenüber dem letzten Quartal verzeichnet, was darauf hindeutet, dass KI genutzt wird, um mehr Code zu pushen und mehr CVEs zu entdecken.
Der Long Tail definiert weiterhin das reale Risiko: 96 % der in Chainguard-Containern gefundenen und behobenen Schwachstellen traten außerhalb der 20 beliebtesten Projekte auf – dies stimmt mit den Ergebnissen vom Dezember überein.
Compliance treibt weiterhin die Einführung von vertrauenswürdiger Open Source voran: Wir sahen hier die gleichen Themen wie im Dezember, unterstrichen durch eine FIPS-konforme Variante eines Chainguard-Container-Images, die erstmals unter die Top 10 der Images nach Kundenanzahl aufstieg.
Nutzung: Was Teams tatsächlich in der Produktion ausführen
Wir haben mehrere Themen identifiziert, die sich auf die Verbreitung von KI bei der Codegenerierung über Regionen und Branchen hinweg konzentrieren. Diese Verbreitung führt auf der Nutzungsseite zu einer stärkeren Einführung des Python-Sprachökosystems und angrenzender Technologien.
Beliebteste Images: Das Wachstum von Python und PostgreSQL spiegelt die KI-gesteuerte Entwicklung wider
Die Nutzung von PostgreSQL wuchs im Quartalsvergleich um 73 %
Die Images, die in diesem Quartal das stärkste Wachstum verzeichneten, stimmen eng mit den Technologien überein, die die KI-Einführung vorantreiben.
Python bleibt das am weitesten verbreitete Image bei Chainguard-Kunden. Wenn man FIPS- (Federal Information Processing Standards) und Nicht-FIPS-Varianten kombiniert, nutzen 72,1 % der Chainguard-Kunden ein Python-Image. Dies spiegelt die Rolle von Python als Standardsprache für maschinelles Lernen, Datenpipelines und Automatisierung wider. Was einst auf Experimentierumgebungen konzentriert war, wandert nun branchenübergreifend in Produktionssysteme.
Node verankert weiterhin die Anwendungsinfrastruktur, wobei 60,7 % der Chainguard-Kunden es in ihren Umgebungen nutzen. Zusammen definieren Python und Node die dominante Laufzeitschicht für moderne Anwendungen.
Die bemerkenswerteste Änderung in diesem Quartal betrifft Datenbanken. Die Nutzung von PostgreSQL wuchs im Quartalsvergleich um 73 %, der größte Anstieg unter den weit verbreiteten Images.
Dieses Wachstum steht im Einklang mit breiteren Trends bei KI-Workloads. PostgreSQL wird zunehmend als Grundlage für Vektorsuche und Retrieval-Augmented Generation verwendet, unterstützt durch Erweiterungen, die das Speichern von Embeddings und Ähnlichkeitsabfragen ermöglichen. Während KI in die Produktion einzieht, entwickeln sich Datenbanken parallel zu Anwendungslaufzeiten weiter.
Der moderne Plattform-Stack konvergiert
Über 50 % der beliebtesten Images sind Sprach-Ökosysteme
In diesem Quartal zeigten die Daten, dass sich Produktionsumgebungen um eine konsistente Menge grundlegender Komponenten herum konsolidieren.
Sprach-Ökosysteme machen mehr als die Hälfte der Top-25-Images aus, die bei Kunden verwendet werden. Python (72,1 % aller Kunden), Node (60,7 %), Java (44,4 %), Go (42,8 %) und .NET (27 %) definieren weiterhin die Laufzeitschicht, mit Wachstum in jedem Ökosystem.
Außerhalb der Laufzeiten standardisieren Teams auf eine vertraute Menge von Cloud-Native-Komponenten. Traffic-Management-Tools wie nginx und Service-Mesh-Komponenten bleiben weit verbreitet. Überwachungssysteme, die auf Prometheus aufbauen, expandieren weiter. Bereitstellungs-Workflows sind zunehmend in GitOps-Tools wie ArgoCD und kubectl verankert.
Das Ergebnis ist eine geschichtete Architektur, die über Organisationen hinweg weitgehend konsistent ist. Eine kleine Anzahl von Laufzeiten, eine gemeinsame Menge an operativen Komponenten und ein großer und hochgradig variabler Long Tail an unterstützenden Abhängigkeiten.
Standardisierung findet auf Plattformebene statt, auch wenn die anwendungsspezifische Variation weiter zunimmt.
Chainguard Base entwickelt sich zu einem Fundament für Entwickler-Tooling.
Chainguard-base war das am fünftmeisten bereitgestellte Image nach Kundenanzahl.
Chainguard Base ist ein minimales, distroloses Basis-Image ohne Toolchain oder Anwendungen. Es wurde entwickelt, um ein sicheres Fundament zu bieten, das Teams nur mit den Komponenten erweitern können, die sie tatsächlich benötigen.
In diesem Quartal war es das am fünftmeisten bereitgestellte Image nach Kundenanzahl und wurde von 36,3 % der Kunden über FIPS- und Nicht-FIPS-Varianten hinweg genutzt.
Seine Rolle wird deutlicher, wenn man sich die Anpassungsmuster ansieht. Über alle angepassten Repositories hinweg enthalten 95 % hinzugefügte Pakete, und mehr als drei Viertel der Kunden passen mindestens ein Image an.
Wenn Unternehmen Chainguard-Container anpassen, sind die am häufigsten hinzugefügten Pakete Entwickler- und operative Dienstprogramme wie curl, bash, jq, git und Cloud-Tools. Dies sind keine vollständigen Anwendungs-Stacks. Es sind die Werkzeuge, die zum Erstellen, Debuggen und Betreiben von Software benötigt werden.
Dies zeigt ein konsistentes Muster: Teams nutzen Chainguard Base als sicheren Ausgangspunkt und fügen dann genau die Werkzeuge hinzu, die für ihre Arbeitsabläufe erforderlich sind. Es dient als flexible Grundlage für CI/CD-Pipelines, Debugging-Umgebungen und internes Plattform-Tooling.
Mit der Reifung von Platform-Engineering-Praktiken wird der Bedarf an sicheren, anpassbaren Basisumgebungen immer deutlicher. Chainguard Base entwickelt sich zu einem zentralen Baustein in diesem Modell.
CVEs: KI beschleunigt die Softwareentwicklung und die Entdeckung von Schwachstellen.
Über 300 % mehr Korrekturinstanzen in diesem Quartal.
Genau wie wir es auf der Nutzungsseite mit dem Anstieg von Python- und PostgreSQL-Container-Images beobachtet haben, verändert KI auch die Geschwindigkeit, mit der Schwachstellen auftauchen.
Im vorherigen Bericht haben wir 154 eindeutige CVEs und 10.100 Korrekturinstanzen über Chainguard-Container hinweg verfolgt. In diesem Quartal stieg diese Zahl auf 377 eindeutige CVEs und 33.931 Korrekturinstanzen (ein Anstieg von 145 % bei den eindeutigen Schwachstellen und über 300 % mehr angewendete Korrekturen im Vergleich zum Vorquartal).
Dieser Anstieg spiegelt zwei parallele Kräfte wider: 1) Die Entwicklung wird schneller und verteilter, was die Anzahl der Abhängigkeiten erhöht, die in Produktionsumgebungen gelangen; und 2) die Entdeckung von Schwachstellen beschleunigt sich, da Forscher und Angreifer Automatisierung und KI-gestützte Techniken nutzen, um Code in großem Maßstab zu analysieren.
Das Ergebnis ist eine engere Feedbackschleife zwischen Entwicklung und Sicherheit. Es wird mehr Code geschrieben, mehr Abhängigkeiten werden eingeführt und mehr Schwachstellen werden im gesamten Ökosystem identifiziert.
Was auffällt, ist nicht nur der Anstieg des Volumens, sondern die Fähigkeit der Chainguard Factory, darauf zu reagieren. Die mittlere Behebungszeit blieb trotz des deutlich höheren Volumens mit 2,0 Tagen im Vergleich zu 1,96 Tagen im Vorquartal im Wesentlichen unverändert. Schwachstellen mit hohem Schweregrad wurden weiterhin schnell behoben, wobei 97,9 % innerhalb einer Woche korrigiert wurden.
Das Tempo der Entdeckung nimmt zu. Die Erwartung an die Reaktion hält Schritt.
Der „Long Tail“ definiert weiterhin das reale Risiko.
96 % der CVEs treten außerhalb der populärsten Images auf.
Während die Kerninfrastruktur zunehmend standardisiert wird, findet der Großteil der Software-Lieferkette außerhalb der sichtbarsten Komponenten statt. Lassen Sie es uns erklären: Der durchschnittliche Kunde bezieht etwa 74 % seiner Images aus dem „Long Tail“ des Katalogs (Images außerhalb der Top 20 in Bezug auf die Popularität). Dies spiegelt die Realität wider, dass Produktionsumgebungen weit über eine kleine Menge weit verbreiteter Images hinausgehen.
Das Sicherheitsrisiko folgt demselben Muster.
In diesem Quartal traten 96,2 % der CVE-Instanzen außerhalb der 20 am häufigsten verwendeten Images auf. Dies steht im Einklang mit dem vorherigen Bericht, der feststellte, dass fast alle Schwachstellen in Long-Tail-Projekten konzentriert waren.
Die Schlussfolgerung ist eindeutig: Die Images, mit denen Teams am häufigsten interagieren, stellen nur einen kleinen Teil ihrer tatsächlichen Gefährdung dar. Die Mehrheit der Schwachstellen existiert in Abhängigkeiten, die weniger sichtbar sind, seltener aktualisiert werden und oft nicht direkt von den Anwendungsteams verwaltet werden.
Selbst über verschiedene Schweregrade hinweg bleibt die Verteilung bestehen. Kritische, hohe, mittlere und niedrige Schwachstellen folgen alle demselben Muster, wobei die überwältigende Mehrheit (durchschnittlich 96,18 %) außerhalb der Top-20-Images auftritt. Angreifer wissen, was populär ist, daher suchen sie tendenziell nach anfälligen Bereichen, die außerhalb des Fokus der meisten Benutzer liegen.
Da sich die Entwicklung beschleunigt und Abhängigkeitsgraphen wachsen, wird die Verwaltung des „Long Tail“ zur zentralen Herausforderung der Sicherheit der Software-Lieferkette.
Compliance verändert die Adoptionsmuster.
Regulatorische Anforderungen beeinflussen zunehmend, wie Unternehmen Software erstellen und bereitstellen.
Dieses Quartal markiert das erste Mal, dass ein FIPS-konformes Chainguard-Image (python-fips) die Top 10 nach Kundenanzahl erreicht hat, selbst wenn FIPS- und Nicht-FIPS-Varianten zu einer einzigen Metrik zusammengefasst werden. Dieser Meilenstein spiegelt eine breitere Verschiebung hin zu einer Compliance-gesteuerten Einführung wider.
Die FIPS-Einführung nimmt über mehrere Runtimes hinweg zu. Python FIPS-, Node FIPS- und nginx FIPS-Images verzeichneten im Laufe des Quartals alle ein Wachstum bei der Kundenanzahl.
Insgesamt führen mittlerweile 42 % der Kunden mindestens ein FIPS-Image in der Produktion aus.
Dies spiegelt den wachsenden Einfluss von Rahmenwerken wie FedRAMP, PCI DSS, SOC 2 und dem EU Cyber Resilience Act wider. Compliance ist nicht mehr auf eine Teilmenge von Branchen beschränkt. Sie wird zu einer grundlegenden Anforderung für Software, die in regulierten Umgebungen betrieben wird.
Infolgedessen entwickeln sich sichere und konforme Images von einer Option zu einer Erwartung.
Ein sicheres Fundament für das KI-Zeitalter.
Die Daten aus diesem Quartal deuten auf einen klaren Trend hin. Software-Ökosysteme expandieren. Die Anzahl der verwendeten eindeutigen Images wuchs um 18 %, was eine breitere Einführung und vielfältigere Workloads widerspiegelt. Gleichzeitig nahm die Entdeckung von Schwachstellen signifikant zu, mit einem Anstieg von 145 % bei eindeutigen CVEs und einer Verdreifachung der Korrekturen.
Trotz dieses Wachstums blieb die Behebungsleistung von Chainguard stabil. Die mittleren Behebungszeiten blieben konstant, und Schwachstellen mit hohem Schweregrad wurden weiterhin schnell behoben. Diese Kombination ist entscheidend. Sie zeigt, dass es möglich ist, sowohl die Abdeckung als auch die Reaktionsfähigkeit gleichzeitig zu skalieren.
Da KI die Entwicklung weiter beschleunigt, wird das Volumen an Code und Abhängigkeiten wachsen. Die Herausforderung für Sicherheitsteams besteht nicht einfach darin, mit diesem Wachstum Schritt zu halten, sondern es so zu verwalten, dass Konsistenz und Vertrauen gewahrt bleiben. Die Unternehmen, die erfolgreich sein werden, sind diejenigen, die Sicherheit als Teil des Entwicklungssystems selbst betrachten und nicht als eine nachträglich angewendete Ebene.
Bei Chainguard erkennen wir die Herausforderungen, vor denen Sicherheits- und Engineering-Teams stehen, da KI-Technologie immer allgegenwärtiger wird. Wir haben kürzlich Produkte wie Chainguard Agent Skills und Chainguard Actions angekündigt, um dieses Problem direkt anzugehen. Da sich die Entwicklung beschleunigt, müssen Unternehmen versteckte Angriffsvektoren während des gesamten Softwareentwicklungslebenszyklus angehen. Die vertrauenswürdige Open-Source-Software, die wir anbieten, schafft ein „Secure-by-Default“-Fundament, auf dem Sie aufbauen können.
Möchten Sie mehr darüber erfahren, wie Chainguard Ihre Open-Source-Artefakte schützen kann? Setzen Sie sich noch heute mit unserem Team in Verbindung.
Share this article
Verwandte Artikel
- open source
Docker Hodgepodge Images
Chris Carty, Enterprise Sales Engineer
- open source
Open source died in March. It just doesn't know it yet.
Dan Lorenc, Co-founder and CEO
- open source
Be my base image: Introducing Linky’s Matchmaker
Erika Heidi, Staff Developer Experience Engineer
- open source
Well, that escalated quickly: Zero CVEs, lots of vendors
Dan Lorenc, Co-founder and CEO
- open source
Fork yeah: We’re adding ten new open source projects to EmeritOSS
Kim Lewandowski, Chief Strategy Officer
- open source
The only rule: Don’t look at the code
Patrick Smyth, Principal Developer Relations Engineer