L'état de l'Open Source de confiance : Décembre 2025

Chez Chainguard, nous avons une vision unique de la façon dont les organisations modernes consomment les logiciels open source et où elles courent des risques et se heurtent à des fardeaux opérationnels. Grâce à notre clientèle croissante et à notre vaste catalogue de plus de 1800 projets d'images de conteneurs, 148 000 versions, 290 000 images et 100 000 bibliothèques de langues, et près d'un demi-milliard de builds, nous pouvons voir ce que les équipes tirent, déploient et maintiennent au jour le jour, ainsi que les vulnérabilités et les réalités de la remédiation qui vont de pair.

C'est pourquoi nous avons créé The State of Trusted Open Source, une étude trimestrielle sur la chaîne d'approvisionnement des logiciels libres. En analysant l'utilisation de produits anonymes et les données CVE, nous avons remarqué des thèmes communs autour de ce que les équipes d'ingénieurs open source construisent réellement et des risques associés.

Voici ce que nous avons découvert :

• L'IA est en train de remodeler la pile de base : Python est l'image open source la plus populaire parmi notre base de clients mondiale, alimentant la pile d'IA moderne.

• Plus de la moitié de la production se fait en dehors des projets les plus populaires : La plupart des équipes peuvent se standardiser sur un ensemble d'images familières, mais l'infrastructure du monde réel est alimentée par un large portefeuille qui s'étend bien au-delà des 20 images les plus populaires, ce que nous appelons dans ce rapport les images de longue traîne.

• La popularité n'est pas synonyme de risque : 98% des vulnérabilités trouvées et corrigées dans les images Chainguard se sont produites en dehors des 20 projets les plus populaires. Cela signifie que le plus gros fardeau de la sécurité s'accumule dans la partie la moins visible de la pile, là où les correctifs sont les plus difficiles à mettre en œuvre.

• La conformité peut être le catalyseur de l'action : La conformité prend aujourd'hui de nombreuses formes : des exigences en matière de SBOM et de vulnérabilité aux cadres industriels tels que PCI DSS, SOC 2, et aux réglementations telles que la loi européenne sur la cyber-résilience. Le FIPS n'est qu'un exemple parmi d'autres, axé spécifiquement sur les normes fédérales américaines en matière de cryptage. Malgré cela, 44 % des clients de Chainguard utilisent une image FIPS en production, ce qui souligne la fréquence à laquelle les besoins réglementaires influencent les décisions logicielles dans le monde réel.

• La confiance se construit sur la rapidité de la remédiation : Chainguard a éliminé les CVE critiques, en moyenne, en moins de 20 heures.

Avant d'entrer dans le vif du sujet, un mot sur notre méthodologie : Ce rapport analyse plus de 1 800 projets d'images de conteneurs uniques, 10 100 instances de vulnérabilité totales et 154 CVE uniques suivis entre le 1er septembre 2025 et le 30 novembre 2025. Lorsque nous utilisons des termes tels que "top 20 projects" et "longtail projects" (définis par des images en dehors du top 20), nous nous référons à des modèles d'utilisation réels observés à travers notre portefeuille de clients et dans les pulls de production.

L'utilisation : Ce que les équipes exécutent réellement en production

Si vous faites un zoom arrière, l'empreinte des conteneurs de production d'aujourd'hui ressemble exactement à ce à quoi vous vous attendez : les langages de base, les moteurs d'exécution et les composants d'infrastructure dominent notre liste la plus populaire.

Images les plus populaires : L'IA remodèle la pile de base

Dans toutes les régions, les images les plus importantes sont des éléments de base familiers : Python (71,7 % des clients), Node (56,5 %), nginx (40,1 %), go (33,5 %), redis (31,4 %), suivis par JDK, JRE et un groupe d'outils d'observabilité et de plateforme de base comme Grafana, Prometheus, Istio, cert-manager, argocd, ingress-nginx et kube-state-metrics.

Cela indique que les clients exploitent un portefeuille de blocs de construction critiques - y compris les langages, les passerelles, le maillage de services, la surveillance et les contrôleurs - qui constituent collectivement la base de leur entreprise.

Il n'est pas surprenant de voir Python mener la danse au niveau mondial, en tant que langage de collage par défaut pour la pile d'IA moderne. Les équipes utilisent généralement Python pour le développement de modèles, les pipelines de données et, de plus en plus, pour les services d'inférence de production.

Les plus populaires par région

L'Amérique du Nord présente un ensemble large et cohérent de blocs de construction de production par défaut : Python (71,7 % des clients), Node (56,6 %), nginx (39,8 %), go (31,9 %), redis (31,5 %), ainsi qu'une forte pénétration des composants de l'écosystème Kubernetes (cert-manager, istio, argocd, prometheus, kube-state-metrics, node-exporter, kubectl). Notamment, même les images d'utilitaires comme busybox apparaissent de manière significative.

En dehors de l'Amérique du Nord, la même pile de base apparaît, mais le portefeuille s'étend différemment : Python (72 % des clients), Node (55,8 %), Go (44,2 %), nginx (41,9 %), et une présence notable de runtimes .NET (aspnet-runtime, dotnet-runtime, dotnet-sdk) et PostgreSQL.

La longue traîne des images est cruciale pour la production, pas les cas marginaux.

Les images les plus populaires de Chainguard ne représentent que 1,37 % de toutes les images disponibles et comptent pour environ la moitié de tous les tirages de conteneurs. L'autre moitié de l'utilisation de la production provient de partout ailleurs : 1 436 images de longue traîne qui représentent 61,42 % du portefeuille de conteneurs du client moyen.

En d'autres termes, la moitié des charges de travail de production s'exécutent sur des images de longue traîne. Il ne s'agit pas de cas particuliers. Ils sont au cœur de l'infrastructure de nos clients. Il est relativement simple d'assurer la qualité de la poignée d'images les plus récentes, mais ce qu'exige une source ouverte fiable, c'est de maintenir cette sécurité et cette rapidité dans l'ensemble de ce que les clients exécutent réellement.

Utilisation du FIPS : La conformité est un catalyseur d'action

Le chiffrement FIPS est une technologie essentielle dans le paysage de la conformité, axée sur la satisfaction des exigences fédérales américaines en matière de chiffrement. Il offre également une fenêtre utile sur la manière dont la pression réglementaire favorise l'adoption. D'après nos données, 44 % des clients utilisent au moins une image FIPS en production.

Le schéma est cohérent : lorsqu'elles travaillent dans des cadres de conformité tels que FedRAMP, DoD IL-5, PCI DSS, SOC 2, CRA, Essential Eight ou HIPAA, les équipes ont besoin de logiciels open source renforcés et fiables qui reflètent leurs charges de travail commerciales. Nos images FIPS les plus utilisées s'alignent sur l'ensemble du portefeuille, simplement avec des modules cryptographiques renforcés pour l'audit et la vérification.

Les principaux projets d'images FIPS comprennent Python-fips (62 % des clients ayant au moins une image FIPS en production), Node-fips (50 %), nginx-fips (47,2 %), go-fips (33,8 %), redis-fips (33,1 %), ainsi que des composants de plateforme tels que istio-pilot-fips, istio-proxy-fips et des variantes de cert-manager. Même les bibliothèques de support et les fondations cryptographiques sont présentes, comme glibc-openssl-fips.

FIPS n'explique pas tout, mais illustre une vérité plus large : la conformité est un moteur universel, soulignant la nécessité d'une source ouverte de confiance dans l'ensemble de la pile logicielle.

CVEs : La popularité n'est pas synonyme de risque

Lorsque l'on examine le catalogue d'images de Chainguard, on constate que le risque est massivement concentré en dehors des images les plus populaires. Parmi les CVE que nous avons corrigés au cours des trois derniers mois, 214 se trouvaient dans les 20 images les plus populaires, ce qui ne représente que 2 % du total des CVE. Au-delà de ces images, vous trouverez les 98 % restants des CVE que nous avons corrigés (10 785 instances CVE). Cela représente 50 fois le nombre de CVE dans les 20 premières images !

Le volume le plus important de CVE est classé dans la catégorie moyenne, mais l'urgence opérationnelle découle souvent de la rapidité avec laquelle les CVE critiques et élevés sont traités, et du fait que les clients peuvent compter sur cette rapidité pour l'ensemble de leur portefeuille, et pas seulement pour les images les plus courantes.

La confiance se construit sur la rapidité de la remédiation

Pour nous, la confiance se mesure en temps de résolution, et nous savons que c'est le plus important lorsqu'il s'agit de CVE critiques. Au cours de la période de trois mois analysée, notre équipe a atteint un temps de remédiation moyen inférieur à 20 heures pour les CVE critiques, 63,5 % des CVE critiques étant résolus dans les 24 heures, 97,6 % dans les deux jours et 100 % dans les trois jours.

Outre la remédiation des CVE critiques, notre équipe a traité les CVE élevés en 2,05 jours, les CVE moyens en 2,5 jours et les CVE faibles en 3,05 jours, soit nettement plus rapidement que nos accords de niveau de service (sept jours pour les CVE critiques et 14 jours pour les CVE élevés, moyens et faibles).

Et cette rapidité ne se limite pas aux paquets les plus populaires. Pour chaque CVE remédié dans un projet d'image du top 20, nous avons résolu 50 CVE dans des images moins populaires.

C'est dans cette longue traîne que se cache la majeure partie de votre exposition réelle et il peut être désespérant d'essayer de suivre le rythme. La plupart des organisations d'ingénierie ne peuvent tout simplement pas allouer des ressources pour corriger les vulnérabilités dans les paquets qui ne font pas partie de leur pile principale, mais nos données montrent clairement que vous devez sécuriser la "majorité silencieuse" de votre chaîne d'approvisionnement en logiciels avec la même rigueur que vos charges de travail les plus critiques.

Une nouvelle base de référence pour l'open source de confiance

À travers nos données, un constat s'impose : les logiciels modernes sont alimentés par un portefeuille large et changeant de composants open source, dont la plupart vivent en dehors du top 20 des images les plus populaires. Ce n'est pas là que les développeurs passent leur temps, mais c'est là que s'accumule l'essentiel des risques en matière de sécurité et de conformité.

Cela crée un décalage inquiétant : il est rationnel pour les équipes d'ingénieurs de se concentrer sur le petit ensemble de projets qui comptent le plus pour leur pile, mais la majorité de l'exposition réside dans le vaste ensemble de dépendances qu'ils n'ont pas le temps de gérer.

C'est pourquoi l'étendue est importante. Chainguard est conçu pour absorber le fardeau opérationnel de la longue traîne, en fournissant une couverture et une remédiation à une échelle que les équipes individuelles ne peuvent pas justifier par elles-mêmes. Au fur et à mesure que les chaînes d'approvisionnement open source se complexifient, nous continuerons à suivre les schémas d'utilisation et à mettre en lumière où réside réellement le risque, afin que vous n'ayez pas à mener seul la bataille contre la longue traîne.

Vous êtes prêt à faire appel à la source de confiance pour l'open source ? Contactez-nous pour en savoir plus.