可信开源软件现状报告：AI重塑技术栈基线

Chainguard作为可信开源软件的领先提供商，对现代企业如何实际使用开源软件以及他们面临的风险和运营负担有着独特的洞察。基于不断增长的客户群和涵盖超过1800个容器镜像项目、148,000个版本、290,000个镜像、100,000个语言库以及近5亿次构建的广泛目录，他们能够观察到团队日常拉取、部署和维护的内容，以及随之而来的漏洞和修复现实。

正因如此，他们创建了《可信开源软件现状》，这是一份关于开源软件供应链的季度报告。在分析匿名产品使用数据和CVE数据时，Chainguard团队发现了开源工程团队实际构建内容和相关风险的共同主题。

以下是他们的发现：

生成式AI正在重塑基础技术栈

Python在Chainguard全球客户群中成为最受欢迎的开源镜像，为现代AI技术栈提供动力。这并不令人意外，因为Python已成为现代AI技术栈的默认粘合语言。团队通常将Python标准化用于模型开发、数据管道，以及越来越多地用于生产推理服务。

超过一半的生产活动发生在最受欢迎项目之外

Chainguard最受欢迎的镜像仅占所有可用镜像的1.37%，但约占所有容器拉取量的一半。另一半的生产使用来自其他地方：1,436个长尾镜像，占平均客户容器组合的61.42%。换句话说，一半的生产工作负载运行在长尾镜像上。这些不是边缘情况，它们是客户基础设施的核心。

受欢迎程度与风险不成正比

在Chainguard镜像中发现和修复的98%的漏洞发生在最受欢迎的前20个项目之外。这意味着最大的安全负担积累在技术栈中不太显眼的部分，而这些部分的补丁是最难操作化的。在Chainguard的镜像目录中，风险绝大部分集中在最受欢迎的镜像之外。在过去三个月Chainguard修复的CVE中，214个发生在前20个镜像中，仅占总CVE的2%。

合规可以成为行动的催化剂

如今合规有多种形式：从SBOM和漏洞要求到PCI DSS、SOC 2等行业框架，以及欧盟网络韧性法案等法规。FIPS只是一个例子，专门针对美国联邦加密标准。即便如此，44%的Chainguard客户在生产中运行FIPS镜像，凸显了监管需求影响现实世界软件决策的频率。

信任建立在修复速度之上

Chainguard平均在不到20小时内消除了关键CVE。在分析的三个月期间，Chainguard团队实现了关键CVE平均不到20小时的修复时间，63.5%的关键CVE在24小时内得到解决，97.6%在两天内解决，100%在三天内解决。除了关键CVE修复外，团队在2.05天内处理高危CVE，2.5天内处理中危CVE，3.05天内处理低危CVE。

现代软件的复杂现状

跨数据分析，一个重要发现脱颖而出：现代软件由广泛、不断变化的开源组件组合驱动，其中大部分存在于最受欢迎的前20个镜像之外。这不是开发人员花费时间的地方，但却是大部分安全和合规风险积累的地方。

这造成了一个令人担忧的脱节：工程团队专注于对其技术栈最重要的小部分项目是合理的，但大部分暴露风险存在于他们没有时间管理的大量依赖项中。这就是为什么广度很重要。Chainguard旨在承担长尾的运营负担，提供个别团队无法独自证明其合理性的覆盖范围和修复规模。

Q&A

Q1：什么是长尾镜像？它们有多重要？

A：长尾镜像是指除了最受欢迎的前20个项目之外的1,436个镜像，占平均客户容器组合的61.42%。一半的生产工作负载运行在长尾镜像上，它们是客户基础设施的核心组成部分。

Q2：开源软件的安全风险主要集中在哪里？

A：98%的漏洞发生在最受欢迎的前20个项目之外。在过去三个月中，前20个镜像只有214个CVE，而其他镜像有10,785个CVE实例，是前者的50倍。

Q3：Chainguard修复关键漏洞需要多长时间？

A：Chainguard平均在不到20小时内修复关键CVE，63.5%的关键CVE在24小时内解决，97.6%在两天内解决，100%在三天内解决，远快于行业标准。