Компания Chainguard опубликовала второй выпуск своего отчёта The State of Trusted Open Source Report. Первый вышел в декабре 2025 года, а свежий охватывает период с 1 декабря 2025 по 28 февраля 2026 года. Масштаб анализа внушительный: более 2 200 уникальных проектов контейнерных образов, 33 931 случай устранения уязвимостей и 377 уникальных CVE. Цифры за предыдущий квартал были заметно скромнее — 154 уникальных CVE и 10 100 случаев исправлений. То есть число уникальных уязвимостей подскочило на 145%, а общее количество инстансов исправлений выросло более чем на 300%.
Главная причина такого всплеска — искусственный интеллект. Он ускоряет не только написание кода и генерацию зависимостей, но и обнаружение уязвимостей. Исследователи безопасности (и атакующие тоже) всё активнее применяют ИИ-инструменты для сканирования и поиска дыр. Распределённая разработка стала быстрее, зависимостей в проектах прибавилось, и всё это создаёт больше поверхности для атак. Получается своего рода гонка: код пишется быстрее, но и ломается быстрее тоже.
Python уверенно занял позицию самого распространённого образа — его используют 72,1% всех клиентов Chainguard (с учётом FIPS и без). Причины понятны: машинное обучение, дата-пайплайны, автоматизация. PostgreSQL показал рост на 73% квартал к кварталу, и тут тоже след ИИ — векторный поиск, retrieval-augmented generation и прочие нагрузки, связанные с большими языковыми моделями. Node используют 60,7% клиентов, Java — 44,4%, Go — 42,8%,.NET — 27%. Общее число уникальных используемых образов выросло на 18%.
Больше половины из топ-25 образов приходится на языковые экосистемы. Рядом с ними в продакшене стабильно присутствуют nginx, Prometheus, ArgoCD и kubectl. Это говорит о заметной стандартизации платформенного стека: компании не экспериментируют с экзотикой, а выстраивают инфраструктуру вокруг проверенного набора инструментов.
Отдельная история — образ chainguard-base. Это минималистичный distroless-образ без тулчейна и приложений, что-то вроде чистого фундамента. Он занимает пятое место по числу клиентов, его используют 36,3%. Более 75% клиентов Chainguard кастомизируют хотя бы один образ, а в 95% кастомизированных репозиториев добавляются дополнительные пакеты. Чаще всего доставляют curl, bash, jq, git и облачные утилиты. По сути, chainguard-base превратился в конструктор для сборки собственного инструментария разработки.
Несмотря на взрывной рост числа уязвимостей, медианное время их устранения почти не изменилось — 2,0 дня против 1,96 дня в прошлом квартале. Для «фабрики» Chainguard Factory это показатель устойчивости процесса. 97,9% уязвимостей с высоким уровнем критичности были закрыты в течение одной недели. При трёхкратном увеличении объёма работы удержать такую скорость — задача нетривиальная.
Самый тревожный раздел отчёта — про так называемый «длинный хвост». Это образы за пределами топ-20 самых популярных проектов. У медианного клиента 74% используемых образов приходится именно на этот хвост. И в нём сосредоточено 96,2% всех случаев CVE. Логика простая: популярные проекты на виду, их быстро патчат и внимательно мониторят. А менее заметные зависимости обновляются реже, привлекают меньше внимания — и именно туда целятся атакующие.
Регуляторное давление тоже формирует рынок. Образ python-fips впервые попал в топ-10 по числу клиентов. 42% клиентов Chainguard теперь запускают в продакшене хотя бы один FIPS-совместимый образ. Растут Python FIPS, Node FIPS и nginx FIPS. За этой динамикой стоят конкретные фреймворки: FedRAMP, PCI DSS, SOC 2 и европейский EU Cyber Resilience Act. Комплаенс перестал быть абстрактным требованием для отдельных отраслей и превращается в базовое условие для работы с открытым кодом.
В сухом остатке картина выглядит так: ИИ разгоняет и разработку, и обнаружение уязвимостей одновременно. Основная масса рисков прячется не в популярных пакетах, а в менее заметных зависимостях, которые при этом составляют бо́льшую часть реального использования. Компании всё сильнее стандартизируют свои стеки вокруг проверенных образов и при этом вынуждены считаться с нарастающими требованиями регуляторов. Скорость патчинга пока держится, но объём работы растёт с пугающей динамикой — и непонятно, как долго этот баланс получится сохранять.
Изображение носит иллюстративный характер
Главная причина такого всплеска — искусственный интеллект. Он ускоряет не только написание кода и генерацию зависимостей, но и обнаружение уязвимостей. Исследователи безопасности (и атакующие тоже) всё активнее применяют ИИ-инструменты для сканирования и поиска дыр. Распределённая разработка стала быстрее, зависимостей в проектах прибавилось, и всё это создаёт больше поверхности для атак. Получается своего рода гонка: код пишется быстрее, но и ломается быстрее тоже.
Python уверенно занял позицию самого распространённого образа — его используют 72,1% всех клиентов Chainguard (с учётом FIPS и без). Причины понятны: машинное обучение, дата-пайплайны, автоматизация. PostgreSQL показал рост на 73% квартал к кварталу, и тут тоже след ИИ — векторный поиск, retrieval-augmented generation и прочие нагрузки, связанные с большими языковыми моделями. Node используют 60,7% клиентов, Java — 44,4%, Go — 42,8%,.NET — 27%. Общее число уникальных используемых образов выросло на 18%.
Больше половины из топ-25 образов приходится на языковые экосистемы. Рядом с ними в продакшене стабильно присутствуют nginx, Prometheus, ArgoCD и kubectl. Это говорит о заметной стандартизации платформенного стека: компании не экспериментируют с экзотикой, а выстраивают инфраструктуру вокруг проверенного набора инструментов.
Отдельная история — образ chainguard-base. Это минималистичный distroless-образ без тулчейна и приложений, что-то вроде чистого фундамента. Он занимает пятое место по числу клиентов, его используют 36,3%. Более 75% клиентов Chainguard кастомизируют хотя бы один образ, а в 95% кастомизированных репозиториев добавляются дополнительные пакеты. Чаще всего доставляют curl, bash, jq, git и облачные утилиты. По сути, chainguard-base превратился в конструктор для сборки собственного инструментария разработки.
Несмотря на взрывной рост числа уязвимостей, медианное время их устранения почти не изменилось — 2,0 дня против 1,96 дня в прошлом квартале. Для «фабрики» Chainguard Factory это показатель устойчивости процесса. 97,9% уязвимостей с высоким уровнем критичности были закрыты в течение одной недели. При трёхкратном увеличении объёма работы удержать такую скорость — задача нетривиальная.
Самый тревожный раздел отчёта — про так называемый «длинный хвост». Это образы за пределами топ-20 самых популярных проектов. У медианного клиента 74% используемых образов приходится именно на этот хвост. И в нём сосредоточено 96,2% всех случаев CVE. Логика простая: популярные проекты на виду, их быстро патчат и внимательно мониторят. А менее заметные зависимости обновляются реже, привлекают меньше внимания — и именно туда целятся атакующие.
Регуляторное давление тоже формирует рынок. Образ python-fips впервые попал в топ-10 по числу клиентов. 42% клиентов Chainguard теперь запускают в продакшене хотя бы один FIPS-совместимый образ. Растут Python FIPS, Node FIPS и nginx FIPS. За этой динамикой стоят конкретные фреймворки: FedRAMP, PCI DSS, SOC 2 и европейский EU Cyber Resilience Act. Комплаенс перестал быть абстрактным требованием для отдельных отраслей и превращается в базовое условие для работы с открытым кодом.
В сухом остатке картина выглядит так: ИИ разгоняет и разработку, и обнаружение уязвимостей одновременно. Основная масса рисков прячется не в популярных пакетах, а в менее заметных зависимостях, которые при этом составляют бо́льшую часть реального использования. Компании всё сильнее стандартизируют свои стеки вокруг проверенных образов и при этом вынуждены считаться с нарастающими требованиями регуляторов. Скорость патчинга пока держится, но объём работы растёт с пугающей динамикой — и непонятно, как долго этот баланс получится сохранять.
