De staat van vertrouwde open source

Cyberbeveiliging
De staat van vertrouwde open source

Chainguard, de vertrouwde bron voor open source, heeft een uniek inzicht in hoe moderne organisaties open source software daadwerkelijk gebruiken en waar ze tegen risico’s en operationele lasten aanlopen. Via een groeiend klantenbestand en een uitgebreide catalogus van meer dan 1800 containerimageprojecten, 148.000 versies, 290.000 images en 100.000 taalbibliotheken, en bijna een half miljard builds, kunnen ze zien wat teams dagelijks uithalen, implementeren en onderhouden, samen met de kwetsbaarheden en herstelrealiteiten die daarmee gepaard gaan.

Daarom hebben ze gecreëerd De staat van vertrouwde open sourceeen driemaandelijkse impuls over de toeleveringsketen van open source-software. Terwijl ze geanonimiseerd productgebruik en CVE-gegevens analyseerden, merkte het Chainguard-team gemeenschappelijke thema’s op rond waar open source-engineeringteams feitelijk mee bouwen en de daaraan verbonden risico’s.

Dit is wat ze hebben gevonden:

  • AI hervormt de basislijnstapel: Python liep voorop als het meest populaire open source-image onder het wereldwijde klantenbestand van Chainguard en dreef de moderne AI-stack aan.
  • Meer dan de helft van de productie vindt plaats buiten de meest populaire projecten: De meeste teams standaardiseren op basis van een bekende reeks afbeeldingen, maar de infrastructuur in de echte wereld wordt mogelijk gemaakt door een breed portfolio dat veel verder reikt dan de top 20 van meest populaire afbeeldingen, die zij in dit rapport longtail-afbeeldingen noemen.
  • Populariteit houdt geen risico in: 98% van de gevonden en verholpen kwetsbaarheden in Chainguard-images vonden plaats buiten de top 20 van meest populaire projecten. Dat betekent dat de grootste beveiligingslast zich ophoopt in het minder zichtbare deel van de stack, waar patching het moeilijkst te implementeren is.
  • Naleving kan de katalysator voor actie zijn: Compliance neemt tegenwoordig vele vormen aan: van SBOM en kwetsbaarheidsvereisten tot branchekaders zoals PCI DSS, SOC 2 en regelgeving zoals de Cyber ​​Resilience Act van de EU. FIPS is slechts één voorbeeld, specifiek gericht op Amerikaanse federale encryptiestandaarden. Toch hanteert 44% van de Chainguard-klanten een FIPS-imago in de productie, wat onderstreept hoe vaak regelgevingsbehoeften de softwarebeslissingen in de echte wereld bepalen.
  • Vertrouwen is gebaseerd op herstelsnelheid: Chainguard elimineerde kritische CVE’s gemiddeld in minder dan 20 uur.

Voordat we dieper ingaan, een opmerking over de methodologie: dit rapport analyseert meer dan 1800 unieke containerimage-projecten, 10.100 totale kwetsbaarheidsinstanties en 154 unieke CVE’s die zijn bijgehouden van 1 september 2025 tot en met 30 november 2025. Wanneer we termen gebruiken als ’top 20-projecten’ en ‘longtail-projecten’ (zoals gedefinieerd door afbeeldingen buiten de top 20), verwijzen we naar echte gebruikspatronen die worden waargenomen in Chainguard’s klantenportfolio en productietrekkingen.

Gebruik: welke teams daadwerkelijk in productie draaien

Als je uitzoomt, ziet de huidige productiecontainervoetafdruk er precies zo uit als je zou verwachten: fundamentele talen, runtimes en infrastructuurcomponenten domineren de meest populaire lijst.

Meest populaire afbeeldingen: AI hervormt de basislijnstapel

In alle regio’s zijn de belangrijkste afbeeldingen bekende basisproducten: Python (71,7% van de klanten), Node (56,5%), nginx (40,1%), go (33,5%), redis (31,4%), gevolgd door JDK, JRE en een cluster van kernwaarnemings- en platformtools zoals Grafana, Prometheus, Istio, cert-manager, argocd, ingress-nginx en kube-state-metrieken.

Dit geeft aan dat klanten beschikken over een portfolio van cruciale bouwstenen – waaronder talen, gateways, service mesh, monitoring en controllers – die samen de basis van hun bedrijf vormen.

Het is niet verrassend dat Python wereldwijd voorop loopt, als de standaardlijmtaal voor de moderne AI-stack. Teams standaardiseren doorgaans op Python voor modelontwikkeling, datapijplijnen en in toenemende mate ook voor productie-inferentiediensten.

Populairst per regio: vergelijkbare foundations, verschillende longtail-mixen

Noord-Amerika vertoont een brede en consistente reeks standaardproductiebouwstenen: Python (71,7% van de klanten), Node (56,6%), nginx (39,8%), go (31,9%), redis (31,5%), plus een sterke penetratie van Kubernetes-ecosysteemcomponenten (cert-manager, istio, argocd, prometheus, kube-state-metrics, node-exporter, kubectl). Opvallend is dat zelfs hulpprogramma-afbeeldingen zoals busybox betekenisvol verschijnen.

Buiten Noord-Amerika verschijnt dezelfde core-stack, maar het portfolio verspreidt zich anders: Python (72% van de klanten), Node (55,8%), Go (44,2%), nginx (41,9%) en een opvallende aanwezigheid van .NET-runtimes (aspnet-runtime, dotnet-runtime, dotnet-sdk) en PostgreSQL.

De longtail van beelden is cruciaal voor de productie, niet de randgevallen

De populairste afbeeldingen van Chainguard vertegenwoordigen slechts 1,37% van alle beschikbare afbeeldingen en zijn goed voor ongeveer de helft van alle containertrekkingen. De andere helft van het productiegebruik komt overal vandaan: 1.436 longtail-afbeeldingen die 61,42% van de containerportfolio van de gemiddelde klant uitmaken.

Met andere woorden: de helft van alle productieworkloads draait op longtail-images. Dit zijn geen randgevallen. Ze vormen de kern van de infrastructuur van Chainguard’s klanten. Het is relatief eenvoudig om de bovenste handvol afbeeldingen gepolijst te houden, maar wat vertrouwde open source vereist, is het handhaven van die veiligheid en snelheid over de breedte van wat klanten daadwerkelijk gebruiken.

FIPS-gebruik: Compliance is een katalysator voor actie

FIPS-encryptie is een essentiële technologie in het compliance-landschap, gericht op het voldoen aan de Amerikaanse federale encryptie-eisen. En het biedt een nuttig inzicht in de manier waarop regeldruk de adoptie stimuleert. Uit de gegevens blijkt dat 44% van de klanten ten minste één FIPS-image in productie heeft.

Het patroon is consistent: wanneer teams werken binnen compliance-frameworks zoals FedRAMP, DoD IL-5, PCI DSS, SOC 2, CRA, Essential Eight of HIPAA, hebben teams robuuste, vertrouwde open source-software nodig die hun commerciële werklast weerspiegelt. De meest gebruikte FIPS-afbeeldingen sluiten aan bij het bredere portfolio, eenvoudigweg met cryptografische modules die zijn versterkt voor audit en verificatie.

De belangrijkste FIPS-imageprojecten zijn onder meer Python-fips (62% van de klanten met ten minste één FIPS-image in productie), Node-fips (50%), nginx-fips (47,2%), go-fips (33,8%), redis-fips (33,1%), plus platformcomponenten zoals istio-pilot-fips, istio-proxy-fips en cert-manager-varianten. Zelfs ondersteunende bibliotheken en crypto-stichtingen verschijnen, zoals glibc-openssl-fips.

FIPS is niet het hele verhaal, maar illustreert een bredere waarheid: compliance is een universele driver, die de noodzaak van vertrouwde open source voor de hele softwarestack benadrukt.

CVE’s: Populariteit gaat niet gepaard met risico’s

Als je de afbeeldingencatalogus van Chainguard doorneemt, zijn de risico’s overweldigend geconcentreerd buiten de meest populaire afbeeldingen. Van de CVE’s die Chainguard in de afgelopen drie maanden heeft hersteld, kwamen er 214 voor in de top 20 van afbeeldingen, goed voor slechts 2% van het totaal aantal CVE’s. Ga verder dan de bovenste afbeeldingen en je zult zien dat de overige 98% van de CVE’s Chainguard is hersteld (10.785 CVE-instanties). Dat is 50 keer het aantal CVE’s in de top 20 afbeeldingen!

Het grootste aantal CVE’s wordt gecategoriseerd als Medium, maar de operationele urgentie komt vaak voort uit de snelheid waarmee kritieke en hoge CVE’s worden aangepakt, en of klanten voor hun hele portfolio op die snelheid kunnen vertrouwen, en niet alleen op de meest voorkomende afbeeldingen.

Vertrouwen is gebaseerd op herstelsnelheid

Voor ons wordt vertrouwen gemeten aan de hand van de time-to-fix, en Chainguard weet dat dit het allerbelangrijkste is als het gaat om kritische CVE’s. Gedurende de geanalyseerde periode van drie maanden behaalde het team van Chainguard een gemiddelde hersteltijd van minder dan 20 uur voor kritieke CVE’s, waarbij 63,5% van de kritieke CVE’s binnen 24 uur werd opgelost, 97,6% binnen twee dagen en 100% binnen drie dagen.

Naast het herstel van kritieke CVE’s heeft het team hoge CVE’s in 2,05 dagen, gemiddelde CVE’s in 2,5 dagen en lage CVE’s in 3,05 dagen aangepakt, aanzienlijk sneller dan de SLA’s van Chainguard (zeven dagen voor kritieke CVE’s en 14 dagen voor hoge, gemiddelde en lage CVE’s).

En deze snelheid is niet beperkt tot de meest populaire pakketten. Voor elke afzonderlijke CVE die in een top 20-beeldproject werd hersteld, hebben ze 50 CVE’s omgezet in minder populaire afbeeldingen.

Die longtail is waar het grootste deel van je echte bekendheid zich verbergt en het kan hopeloos voelen om bij te blijven. De meeste technische organisaties kunnen eenvoudigweg geen middelen toewijzen om kwetsbaarheden te patchen in pakketten die buiten hun kernstack vallen, maar de gegevens maken duidelijk dat u de ‘stille meerderheid’ van uw softwaretoeleveringsketen met dezelfde nauwkeurigheid moet beveiligen als uw meest kritische werklasten.

Een nieuwe basislijn voor vertrouwde open source

Wat de gegevens betreft, valt één conclusie op: moderne software wordt aangedreven door een breed, wisselend portfolio van open source-componenten, waarvan de meeste buiten de top 20 van meest populaire afbeeldingen staan. Dat is niet waar ontwikkelaars hun tijd doorbrengen, maar het is waar het grootste deel van de beveiligings- en compliancerisico’s zich ophoopt.

Dit zorgt voor een zorgwekkende ontkoppeling: het is rationeel voor technische teams om zich te concentreren op de kleine reeks projecten die het belangrijkst zijn voor hun stapel, maar het grootste deel van de blootstelling zit in de enorme reeks afhankelijkheden waarvoor ze geen tijd hebben om ze te beheren.

Daarom is de breedte van belang. Chainguard is gebouwd om de operationele last van de longtail op te vangen en dekking en herstel te bieden op een schaal die individuele teams op zichzelf niet kunnen rechtvaardigen. Naarmate open source-toeleveringsketens complexer worden, zal Chainguard gebruikspatronen blijven volgen en een licht werpen op waar het risico werkelijk schuilt, zodat je de strijd tegen de longtail niet alleen hoeft te voeren.

Klaar om aan de slag te gaan met de vertrouwde bron voor open source? Neem contact op met Chainguard voor meer informatie.

Opmerking: Dit artikel is vakkundig geschreven en bijgedragen door Ed Sawma, VP Product Marketing, en Sasha Itkis, Product Analyst.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google werpt licht op Chromebook-ondersteuning voorafgaand aan de aluminium besturingssysteemmigratie

BMX SolidSafe Air powerbank

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]