L'état de l'Open Source de confiance : Mars 2026
En décembre 2025, nous avons publié le tout premier rapport The State of Trusted Open Source, qui présente des informations issues de nos données produit et de notre base de clients sur la consommation d'Open Source dans notre catalogue de projets d'images de conteneurs, de versions, d'images, de bibliothèques de langages et de builds. Ces informations mettent en lumière ce que les équipes tirent, déploient et maintiennent au quotidien, ainsi que les vulnérabilités et les remédiations auxquelles ces projets sont confrontés.
Quelques mois plus tard, le développement de logiciels s'accélère à un rythme que la plupart des gens n'ont pas vu venir. L'IA est de plus en plus intégrée au cycle de vie du développement, de la génération de code à l'automatisation de l'infrastructure, à mesure que les modèles deviennent plus avancés et mieux à même de répondre aux exigences du travail moderne. Ce changement élargit ce que les équipes peuvent construire et la vitesse à laquelle elles peuvent livrer.
Elle redessine également le paysage de la sécurité.
Avant de plonger dans les chiffres, il est important d'expliquer comment nous réalisons cette analyse. Nous avons examiné plus de 2 200 projets d'images de conteneurs uniques, 33 931 instances de vulnérabilité totales et 377 CVE uniques entre le 1er décembre 2026 et le 28 février 2026. Lorsque nous utilisons des termes tels que "top 20 projects" et "long tail projects" (définis par des images en dehors du top 20), nous nous référons à des modèles d'utilisation réels observés à travers notre portefeuille de clients et dans les pulls de production.
Dans ce rapport, nous avons remarqué quelques nouveaux thèmes qui témoignent de cette évolution. Ces thèmes s'appuient sur les tendances de notre dernier rapport et mettent en évidence l'impact du développement accru de l'IA sur les types d'images de conteneurs utilisés et sur le nombre de CVE découverts et corrigés :
La croissance de Python et PostgreSQL reflète le développement piloté par l'IA : Python reste l'image la plus populaire (72,1 % de tous les clients l'utilisent), et PostgreSQL a vu son utilisation augmenter de 73 % d'un trimestre à l'autre, soulignant l'adoption croissante d'une pile d'IA moderne dans divers cas d'utilisation.
La pile de plateformes modernes devient de plus en plus standardisée : Chez les clients de Chainguard, les images de l'écosystème linguistique représentent plus de la moitié des 25 premières images utilisées en production.
Chainguard Base devient une base pour l'outillage des développeurs : L'image chainguard-base, une image de base minimale sans distro ni toolchain ni apps, était la 5ème image Chainguard la plus utilisée, car les clients l'utilisent comme une sorte de "ceinture utilitaire" pour leurs cas d'utilisation spécifiques (plus de 75% des clients Chainguard personnalisent au moins une image).
L'IA accélère le développement de logiciels et la découverte de vulnérabilités : Nous avons appliqué plus de 300 % de correctifs supplémentaires dans Chainguard Containers et constaté une augmentation de 145 % des vulnérabilités par rapport au trimestre précédent, ce qui témoigne de l'utilisation de l'IA pour pousser plus de code et découvrir plus de CVE.
La longue traîne continue de définir le risque réel : 96% des vulnérabilités trouvées et corrigées dans Chainguard Containers se sont produites en dehors des 20 projets les plus populaires - ce qui est cohérent avec les résultats de décembre.
La conformité continue de stimuler l'adoption de logiciels libres fiables : Nous avons retrouvé les mêmes thèmes que ceux de décembre, soulignés par une variante conforme aux normes FIPS d'une image de conteneur Chainguard entrant pour la première fois dans le top 10 des images en fonction du nombre de clients.
Utilisation : Ce que les équipes exécutent réellement en production
Nous avons identifié plusieurs thèmes centrés sur la prévalence de l'IA dans la génération de code à travers les régions et les industries. Cette prévalence conduit à une plus grande adoption de l'écosystème du langage Python et des technologies adjacentes du côté de l'utilisation.
Images les plus populaires : La croissance de Python et PostgreSQL reflète le développement axé sur l'IA
L'utilisation de PostgreSQL a augmenté de 73 % d'un trimestre à l'autre
Les images qui ont connu la plus forte croissance ce trimestre s'alignent étroitement sur les technologies qui favorisent l'adoption de l'IA.
Python reste l'image la plus largement déployée parmi les clients de Chainguard. En combinant les variantes FIPS (Federal Information Processing Standards) et non-FIPS, 72,1 % des clients de Chainguard utilisent une image Python. Cela reflète le rôle de Python en tant que langage par défaut pour l'apprentissage automatique, les pipelines de données et l'automatisation. Ce qui était autrefois concentré dans des environnements d'expérimentation se déplace maintenant dans les systèmes de production à travers les industries.
Node continue d'ancrer l'infrastructure des applications, avec 60,7 % des clients de Chainguard qui l'utilisent dans leurs environnements. Ensemble, Python et Node définissent la couche d'exécution dominante pour les applications modernes.
Le changement le plus notable de ce trimestre concerne les bases de données. L'utilisation de PostgreSQL a augmenté de 73 % d'un trimestre à l'autre, ce qui représente la plus forte augmentation parmi les images largement déployées.
Cette croissance s'aligne sur les tendances plus générales des charges de travail d'IA. PostgreSQL est de plus en plus utilisé comme base pour la recherche vectorielle et la génération augmentée de récupération, soutenue par des extensions qui permettent le stockage d'intégration et les requêtes de similarité. À mesure que l'IA entre en production, les bases de données évoluent parallèlement à l'exécution des applications.
La pile de plateformes modernes converge
Plus de 50 % des images les plus populaires sont des écosystèmes linguistiques
Ce trimestre, les données ont montré que les environnements de production convergent vers un ensemble cohérent de composants fondamentaux.
Les écosystèmes de langages représentent plus de la moitié des 25 images les plus utilisées par les clients. Python (72,1 % de tous les clients), Node (60,7 %), Java (44,4 %), Go (42,8 %) et .NET (27 %) continuent de définir la couche d'exécution, avec une croissance dans chaque écosystème.
En dehors des runtimes, les équipes se standardisent sur un ensemble familier de composants cloud-native. Les outils de gestion du trafic tels que nginx et les composants de maillage de services restent largement déployés. Les systèmes de surveillance construits autour de Prometheus continuent de se développer. Les flux de déploiement sont de plus en plus ancrés dans des outils GitOps tels qu'ArgoCD et kubectl.
Il en résulte une architecture en couches qui est largement cohérente d'une organisation à l'autre. Un petit nombre d'environnements d'exécution, un ensemble partagé de composants opérationnels et une longue queue de dépendances de soutien importante et très variable.
La normalisation se produit au niveau de la plateforme, même si les variations spécifiques aux applications continuent de croître.
Chainguard Base devient une base pour l'outillage des développeurs
Chainguard-base a été la 5ème image la plus déployée selon le nombre de clients
Chainguard Base est une image de base minimale sans distro, sans chaîne d'outils ni applications. Elle est conçue pour fournir une base sécurisée que les équipes peuvent étendre avec seulement les composants dont elles ont besoin.
Ce trimestre, c'était la cinquième image la plus déployée par le nombre de clients, utilisée par 36,3 % d'entre eux dans les variantes FIPS et non-FIPS.
Son rôle devient plus clair lorsqu'on examine les modèles de personnalisation. Dans tous les référentiels personnalisés, 95 % incluent des paquets ajoutés, et plus des trois quarts des clients personnalisent au moins une image.
Lorsque les entreprises personnalisent Chainguard Containers, les paquets les plus fréquemment ajoutés sont des utilitaires de développement et d'exploitation tels que curl, bash, jq, git et cloud tooling. Il ne s'agit pas de piles d'applications complètes. Il s'agit des outils nécessaires à la création, au débogage et à l'exploitation des logiciels.
Cela démontre un modèle cohérent : les équipes utilisent Chainguard Base comme point de départ sécurisé, puis ajoutent les outils exacts nécessaires à leurs flux de travail. Il sert de base flexible pour les pipelines CI/CD, les environnements de débogage et les outils internes de la plateforme.
Au fur et à mesure que les pratiques d'ingénierie de plateforme mûrissent, le besoin d'environnements de base sécurisés et personnalisables se fait de plus en plus sentir. Chainguard Base est en train d'émerger comme un élément de base de ce modèle.
CVEs : L'IA accélère le développement de logiciels et la découverte de vulnérabilités
Plus de 300 % d'instances de correction supplémentaires ce trimestre
Tout comme nous l'avons observé du côté de l'utilisation avec l'augmentation des images de conteneurs Python et PostgreSQL, l'IA modifie également la vitesse à laquelle les vulnérabilités font surface.
Dans le rapport précédent, nous avons suivi 154 CVE uniques et 10 100 instances de correction dans Chainguard Containers. Ce trimestre, ce nombre est passé à 377 CVE uniques et 33 931 instances de correction (soit une augmentation de 145 % des vulnérabilités uniques et de plus de 300 % des corrections appliquées par rapport au trimestre précédent).
Cette augmentation reflète deux forces parallèles : 1) le développement devient plus rapide et plus distribué, ce qui augmente le nombre de dépendances entrant dans les environnements de production ; et 2) la découverte de vulnérabilités s'accélère à mesure que les chercheurs et les attaquants utilisent l'automatisation et les techniques assistées par l'IA pour analyser le code à l'échelle.
Il en résulte une boucle de rétroaction plus étroite entre le développement et la sécurité. Plus de code est écrit, plus de dépendances sont introduites et plus de vulnérabilités sont identifiées dans l'écosystème.
Ce qui est remarquable, ce n'est pas seulement l'augmentation du volume, mais la capacité de la Chainguard Factory à y répondre. Le temps médian de remédiation est resté pratiquement inchangé à 2,0 jours, contre 1,96 jour au trimestre précédent, malgré un volume beaucoup plus important. Les vulnérabilités de grande gravité ont continué à être résolues rapidement, 97,9 % d'entre elles ayant été corrigées en moins d'une semaine.
Le rythme des découvertes s'accélère. Les attentes en matière de réponse suivent le même rythme.
La longue traîne continue de définir le risque réel
96 % des CVE se produisent en dehors des images les plus populaires
Alors que l'infrastructure de base devient plus standardisée, la majeure partie de la chaîne d'approvisionnement en logiciels vit en dehors des composants les plus visibles. Expliquons-nous : le client médian puise environ 74 % de ses images dans la longue traîne du catalogue (images ne figurant pas parmi les 20 premières images les plus populaires). Cela reflète la réalité : les environnements de production s'étendent bien au-delà d'un petit ensemble d'images largement utilisées.
Les risques de sécurité suivent le même schéma.
Ce trimestre, 96,2 % des instances CVE se sont produites en dehors des 20 images les plus utilisées. Ces chiffres sont conformes à ceux du rapport précédent, qui indiquait que presque toutes les vulnérabilités étaient concentrées dans des projets à longue traîne.
L'implication est simple : les images avec lesquelles les équipes interagissent le plus fréquemment ne représentent qu'une petite partie de leur exposition réelle. La majorité des vulnérabilités se trouvent dans des dépendances qui sont moins visibles, moins fréquemment mises à jour et qui, souvent, n'appartiennent pas directement aux équipes chargées des applications.
Même pour les niveaux de gravité, la répartition se maintient. Les vulnérabilités critiques, élevées, moyennes et faibles suivent toutes le même schéma, l'écrasante majorité (96,18 % en moyenne) se produisant en dehors des 20 premières images. Les attaquants savent ce qui est populaire, ils ont donc tendance à rechercher des zones vulnérables qui ne sont pas dans la ligne de mire de la plupart des utilisateurs.
À mesure que le développement s'accélère et que les graphes de dépendance s'étendent, la gestion de la longue traîne devient le défi central de la sécurité de la chaîne d'approvisionnement en logiciels.
La conformité modifie les modèles d'adoption
Les exigences réglementaires influencent de plus en plus la manière dont les organisations conçoivent et déploient les logiciels.
Ce trimestre marque la première fois qu'une image Chainguard conforme aux normes FIPS (python-fips) atteint le top 10 en termes de nombre de clients, même lorsque les variantes FIPS et non-FIPS sont combinées en une seule mesure. Cette étape reflète une évolution plus large vers une adoption axée sur la conformité.
L'adoption de la norme FIPS est de plus en plus fréquente dans de nombreux domaines d'application. Les images Python FIPS, Node FIPS et nginx FIPS ont toutes vu leur nombre de clients augmenter au cours du trimestre.
Dans l'ensemble, 42 % des clients utilisent aujourd'hui au moins une image FIPS en production.
Cela reflète l'influence croissante de cadres tels que FedRAMP, PCI DSS, SOC 2 et la loi européenne sur la cyber-résilience. La conformité n'est plus limitée à un sous-ensemble d'industries. Elle devient une exigence de base pour les logiciels qui fonctionnent dans des environnements réglementés.
Par conséquent, les images sécurisées et conformes ne sont plus facultatives, mais attendues.
Une base sûre pour l'ère de l'IA
Les données de ce trimestre indiquent une tendance claire. Les écosystèmes logiciels s'étendent. Le nombre d'images uniques utilisées a augmenté de 18 %, ce qui reflète une adoption plus large et des charges de travail plus diversifiées. Dans le même temps, la découverte de vulnérabilités a augmenté de manière significative, avec une hausse de 145% des CVE uniques et une augmentation de 3x des correctifs.
Malgré cette croissance, les performances de Chainguard en matière de remédiation sont restées stables. Les temps médians de correction sont restés stables et les vulnérabilités les plus graves ont continué à être résolues rapidement. Cette combinaison est importante. Elle montre qu'il est possible d'augmenter simultanément la couverture et la réactivité.
Alors que l'IA continue d'accélérer le développement, le volume de code et de dépendances va augmenter. Le défi pour les équipes de sécurité n'est pas simplement de suivre cette croissance, mais de la gérer de manière à maintenir la cohérence et la confiance. Les organisations qui réussiront seront celles qui traiteront la sécurité comme une partie intégrante du système de développement lui-même, plutôt que comme une couche appliquée après coup.
Chez Chainguard, nous sommes conscients des défis auxquels les équipes de sécurité et d'ingénierie sont confrontées à mesure que la technologie de l'IA devient de plus en plus omniprésente. Nous avons récemment annoncé des produits tels que Chainguard Agent Skills et Chainguard Actions pour répondre directement à ce problème. À mesure que le développement s'accélère, les organisations doivent s'attaquer aux vecteurs d'attaque cachés tout au long du cycle de vie du développement logiciel. L'open source de confiance que nous proposons crée une base sécurisée par défaut sur laquelle vous pouvez vous appuyer.
Vous souhaitez en savoir plus sur la façon dont Chainguard peut protéger vos artefacts Open Source ? Contactez notre équipe dès aujourd'hui.
Share this article
Articles connexes
- open source
Docker Hodgepodge Images
Chris Carty, Enterprise Sales Engineer
- open source
Open source died in March. It just doesn't know it yet.
Dan Lorenc, Co-founder and CEO
- open source
Be my base image: Introducing Linky’s Matchmaker
Erika Heidi, Staff Developer Experience Engineer
- open source
Well, that escalated quickly: Zero CVEs, lots of vendors
Dan Lorenc, Co-founder and CEO
- open source
Fork yeah: We’re adding ten new open source projects to EmeritOSS
Kim Lewandowski, Chief Strategy Officer
- open source
The only rule: Don’t look at the code
Patrick Smyth, Principal Developer Relations Engineer