enero 14, 2026
Chainguard.jpg

Chainguard, la fuente confiable de código abierto, tiene una visión única de cómo las empresas modernas utilizan realmente el software de código abierto y dónde enfrentan riesgos y presiones operativas. Con una base de clientes en crecimiento y un catálogo extenso de más de 1.800 proyectos de imágenes de contenedores, 148.000 lanzamientos, 290.000 imágenes y 100.000 bibliotecas de idiomas, y casi 500 millones de compilaciones, pueden ver lo que los equipos están implementando, implementando y manteniendo todos los días, junto con las vulnerabilidades y las realidades de remediación que los acompañan.

Por eso crearon El estado del código abierto confiableun pulso trimestral sobre la cadena de suministro de software de código abierto. Al analizar el uso anónimo de productos y los datos CVE, el equipo de Chainguard notó temas comunes sobre con qué están trabajando realmente los equipos de ingeniería de código abierto y los riesgos asociados.

Esto es lo que encontraron:

  • La IA rediseña la pila base: Python era la imagen de código abierto más popular en la base global de clientes de Chainguard e impulsaba la pila de IA moderna.
  • Más de la mitad de la producción se lleva a cabo fuera de los proyectos más populares: La mayoría de los equipos pueden guiarse por un conjunto familiar de imágenes, pero la infraestructura real se basa en un amplio portafolio que se extiende mucho más allá de las 20 imágenes más populares, a las que se refieren como imágenes de cola larga en este informe.
  • Popularidad no es igual a riesgo: El 98% de las vulnerabilidades encontradas y solucionadas en las imágenes de Chainguard ocurrieron fuera de los 20 proyectos más populares. Esto significa que la mayor carga de seguridad se acumula en la parte menos visible de la pila, donde los parches son más difíciles de implementar.
  • El cumplimiento puede ser el catalizador para la acción: Hoy en día, el cumplimiento adopta muchas formas: desde SBOM y requisitos de vulnerabilidad hasta marcos industriales como PCI DSS, SOC 2 y regulaciones como la Ley de Resiliencia Cibernética de la UE. FIPS es sólo un ejemplo que se centra específicamente en los estándares de cifrado federales de EE. UU. Aún así, el 44 % de los clientes de Chainguard ejecutan una imagen FIPS en producción, lo que subraya la frecuencia con la que los requisitos reglamentarios influyen en las decisiones de software del mundo real.
  • Confianza basada en la velocidad de remediación: Chainguard eliminó los CVE críticos en menos de 20 horas en promedio.

Antes de profundizar más, una nota sobre la metodología: este informe analiza más de 1800 proyectos de imágenes de contenedores únicos, 10 100 instancias de vulnerabilidad total y 154 CVE únicos rastreados desde el 1 de septiembre de 2025 hasta el 30 de noviembre de 2025. Cuando usamos términos como “20 proyectos principales” y “proyectos de cola larga” (según lo definen las imágenes fuera de los 20 principales), nos referimos a los patrones de uso reales observados en todos los clientes de Chainguard. cartera y en sorteos de producción.

Uso: qué equipos se están ejecutando realmente en producción.

Si se aleja, el espacio de los contenedores de producción actuales se ve exactamente como se esperaría: los lenguajes principales, los tiempos de ejecución y los componentes de infraestructura dominan la lista más popular.

Imágenes más populares: la IA rediseña la pila base

En todas las regiones, las imágenes principales son elementos básicos bien conocidos: Python (71,7 % de los clientes), Node (56,5 %), Nginx (40,1 %), Go (33,5 %), Redis (31,4 %), seguidos de JDK, JRE y un grupo de herramientas centrales de plataforma y observabilidad como Grafana, Prometheus, Istio, cert-manager, argocd, ingress-nginx y Kube-state metrics.

Esto indica que los clientes operan una cartera de componentes básicos críticos (incluidos lenguajes, puertas de enlace, malla de servicios, monitoreo y controladores) que en conjunto forman la base de su negocio.

No es de extrañar que Python sea líder mundial como lenguaje adhesivo estándar para la pila de IA moderna. Los equipos suelen estandarizar Python para el desarrollo de modelos, canalizaciones de datos y, cada vez más, servicios de inferencia de producción.

Más popular por región: cebadores similares, diferentes mezclas de cola larga

América del Norte tiene un conjunto amplio y consistente de bloques de construcción de producción estándar: Python (71,7% de los clientes), Node (56,6%), Nginx (39,8%), Go (31,9%), Redis (31,5%), así como una fuerte penetración de los componentes del ecosistema de Kubernetes (cert-manager, istio, argocd, prometheus, kube-state-metrics, node-exporter, kubectl). Lo que es notable es que incluso las imágenes de utilidad como Busybox se muestran de manera significativa.

Fuera de Norteamérica, aparece el mismo core stack, pero el portafolio se distribuye de manera diferente: Python (72% de los clientes), Node (55,8%), Go (44,2%), Nginx (41,9%) y una presencia significativa de tiempos de ejecución .NET (aspnet-runtime, dotnet-runtime, dotnet-sdk) y PostgreSQL.

La larga cola de imágenes es crucial para la producción, no para los casos extremos.

Las imágenes más populares de Chainguard representan sólo el 1,37% de todas las imágenes disponibles y representan aproximadamente la mitad de todos los trenes de contenedores. La otra mitad del uso de producción proviene de otros lugares: 1.436 imágenes de cola larga, que representan el 61,42% de la cartera de contenedores del cliente medio.

En otras palabras, la mitad de todas las cargas de trabajo de producción se ejecutan en imágenes de cola larga. Estos no son casos extremos. Son el núcleo de la infraestructura de los clientes de Chainguard. Es relativamente fácil mantener actualizadas las mejores imágenes, pero lo que requiere un código abierto confiable es mantener esa seguridad y velocidad en todo el ámbito de lo que los clientes realmente usan.

Uso de FIPS: el cumplimiento es un catalizador para la acción

El cifrado FIPS es una tecnología esencial en el panorama de cumplimiento centrado en cumplir con los requisitos de cifrado federales de EE. UU. Y ofrece una visión útil sobre la forma en que las presiones regulatorias están impulsando la adopción. Según los datos, el 44% de los clientes ejecutan al menos una imagen FIPS en producción.

El patrón es consistente: cuando los equipos trabajan dentro de marcos de cumplimiento como FedRAMP, DoD IL-5, PCI DSS, SOC 2, CRA, Essential Eight o HIPAA, necesitan un software de código abierto sólido y confiable que refleje sus cargas de trabajo comerciales. Las imágenes FIPS más utilizadas se ajustan a la cartera más amplia, sólo que con módulos criptográficos reforzados para pruebas y verificación.

Los principales proyectos de imágenes FIPS incluyen Python Fips (62 % de los clientes con al menos una imagen FIPS en producción), Node Fips (50 %), Nginx Fips (47,2 %), Go Fips (33,8 %), Redis Fips (33,1 %) y componentes de plataforma como Istio Pilot Fips, Istio Proxy Fips y variantes de Cert Manager. Incluso muestra bibliotecas de soporte y conceptos básicos de criptografía, como glibc-openssl-fips.

FIPS no es toda la historia, pero ilustra una verdad más amplia: el cumplimiento es un factor universal y subraya la necesidad de un código abierto confiable en toda la pila de software.

CVE: La popularidad no es igual al riesgo

Si observamos el catálogo de imágenes de Chainguard, el riesgo se concentra predominantemente fuera de las imágenes más populares. De los CVE que Chainguard arregló en los últimos tres meses, 214 estaban entre las 20 imágenes principales, lo que representa solo el 2% del total de CVE. Vaya más allá de estas imágenes principales y verá que el otro 98% de los CVE de Chainguard se han solucionado (10,785 instancias de CVE). ¡Eso es 50 veces la cantidad de CVE en las 20 imágenes principales!

La mayoría de los CVE se clasifican como “moderados”. Sin embargo, la urgencia operativa a menudo depende de la rapidez con la que se abordan los CVE críticos y altos y de si los clientes pueden confiar en esa velocidad en todo su portafolio, no solo en las imágenes más comunes.

La confianza se basa en la velocidad de la remediación

Para nosotros, la confianza se mide por el tiempo transcurrido hasta la reparación, y Chainguard sabe que esto es más importante para los CVE críticos. Durante el período de tres meses analizado, el equipo de Chainguard logró un tiempo promedio de resolución de CVE críticos de menos de 20 horas, con el 63,5% de los CVE críticos resueltos en 24 horas, el 97,6% en dos días y el 100% en tres días.

Además de resolver CVE críticos, el equipo resolvió CVE altos en 2,05 días, CVE medios en 2,5 días y CVE bajos en 3,05 días, significativamente más rápido que los SLA de Chainguard (siete días para CVE críticos y 14 días para CVE altos, medios y bajos).

Y esta velocidad no se limita a los paquetes más populares. Por cada CVE resuelto en un proyecto de las 20 imágenes principales, resolvieron 50 CVE en imágenes menos populares.

Esa larga cola oculta la mayor parte de tu verdadera visibilidad, y tratar de mantener el ritmo puede parecer desesperado. La mayoría de las organizaciones de desarrollo simplemente no pueden dedicar recursos para corregir vulnerabilidades en paquetes que se encuentran fuera de su pila central. Sin embargo, los datos dejan claro que es necesario proteger la “mayoría silenciosa” de su cadena de suministro de software con el mismo cuidado que sus cargas de trabajo más críticas.

Una nueva base para un código abierto confiable

Entre todos los datos, destaca una idea: el software moderno se basa en una cartera amplia y cambiante de componentes de código abierto, la mayoría de los cuales están fuera del top 20 de imágenes más populares. Aquí no es donde los desarrolladores pasan su tiempo, pero es donde se acumulan la mayoría de los riesgos de seguridad y cumplimiento.

Esto conduce a una desconexión preocupante: tiene sentido que los equipos de ingeniería se concentren en el pequeño conjunto de proyectos que son más importantes para su pila, pero la mayor parte del riesgo radica en la gran cantidad de dependencias que no tienen tiempo para administrar.

Por eso el ancho es importante. Chainguard está diseñado para asumir la carga operativa de la cola larga, brindando cobertura y remediación a un nivel que los equipos individuales no pueden justificar por sí solos. A medida que las cadenas de suministro de código abierto se vuelven más complejas, Chainguard continuará rastreando los patrones de uso y arrojando luz sobre dónde realmente acecha el riesgo, para que usted no tenga que luchar solo contra la larga cola.

¿Listo para comenzar con la fuente confiable de código abierto? Póngase en contacto con Chainguard para obtener más información.

Nota: Este artículo fue escrito y contribuido por expertos de Ed Sawma, vicepresidente de marketing de productos, y Sasha Itkis, analista de productos.

¿Te pareció interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Google Noticias, Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.

About The Author

desafiomayor

See author's posts

Related News

payment.png

Una campaña de skimming web de larga duración roba tarjetas de crédito de sitios de pago en línea

enero 14, 2026 0
mexc.jpg

La extensión maliciosa de Chrome roba claves API de MEXC haciéndose pasar por una herramienta comercial

enero 14, 2026 0

You may have missed

wordle-word-game-hints-puzzle-8667.jpg

Pistas, respuestas y ayuda del NYT Wordle de hoy para el 14 de enero #1670

enero 14, 2026 0
Washington-capitol-building-1260x945.jpg

El proyecto de ley del estado de Washington apunta a los listados de bienes raíces privados y requeriría comercialización pública

enero 14, 2026 0
waymo-ces-2026.jpg

El gobernador de Nueva York está allanando el camino para los taxis robot en todas partes, con una notable excepción

enero 14, 2026 0
roblox_1.jpg

Según se informa, el sistema de verificación de edad de Roblox es un desastre

enero 14, 2026 0
Screenshot_2026-01-13_at_13.25.49.png

Instagram quiere que personalices tu algoritmo de Reels para 2026

enero 14, 2026 0
48234c00-f02e-11f0-beff-b61f4dc7bda5.jpeg

El Senado aprueba por segunda vez la Ley de Desafío para acabar con los deepfakes de Grok

enero 14, 2026 0