Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Bezpieczeństwo oprogramowania open source pozostaje jednym z najważniejszych obszarów współczesnego cyberbezpieczeństwa. Problem dotyczy nie tylko samych bibliotek, ale również obrazów kontenerowych, zależności aplikacyjnych oraz całego łańcucha dostaw oprogramowania wykorzystywanego w środowiskach CI/CD.
Najnowsze obserwacje rynkowe pokazują, że rozwój wspierany przez sztuczną inteligencję przyspiesza tworzenie i wdrażanie aplikacji, ale jednocześnie zwiększa liczbę komponentów wymagających monitorowania, skanowania i regularnej aktualizacji. W efekcie organizacje muszą równoważyć szybkość dostarczania kodu z rosnącymi wymaganiami bezpieczeństwa.
W skrócie
Analizowany raport wskazuje na wyraźny wzrost znaczenia ekosystemów Python, Node.js i PostgreSQL, co jest silnie powiązane z adopcją rozwiązań AI oraz obciążeń związanych z danymi. W badanym okresie odnotowano 377 unikalnych CVE oraz 33 931 przypadków wdrożonych poprawek, co oznacza duży wzrost względem poprzedniego kwartału.
- Python był używany przez 72,1% analizowanych klientów.
- Wykorzystanie PostgreSQL wzrosło o 73% kwartał do kwartału.
- Mediana czasu remediacji utrzymała się na poziomie około dwóch dni.
- Większość podatności wysokiego ryzyka była usuwana w ciągu tygodnia.
- Ponad 96% instancji CVE pochodziło spoza 20 najpopularniejszych projektów.
Kontekst / historia
Raport rozwija wcześniejsze analizy dotyczące zaufanego open source i rzeczywistego wykorzystania obrazów kontenerowych w środowiskach produkcyjnych. Tym razem badanie objęło ponad 2200 unikalnych projektów obrazów kontenerowych, 33 931 instancji podatności oraz 377 unikalnych CVE w okresie od 1 grudnia 2025 roku do 28 lutego 2026 roku.
Na tle poprzednich obserwacji wyraźnie widać utrwalanie się kilku trendów. Organizacje coraz częściej standaryzują środowiska wokół dominujących ekosystemów językowych, rośnie znaczenie minimalnych obrazów bazowych, a wymagania zgodności regulacyjnej coraz mocniej wpływają na decyzje dotyczące wyboru artefaktów programistycznych i platform uruchomieniowych.
Analiza techniczna
Najbardziej widoczną zmianą jest wzrost znaczenia komponentów powiązanych z obciążeniami AI. Python utrzymał pozycję najpopularniejszego obrazu, a rosnące użycie PostgreSQL dobrze wpisuje się w typowy stos wykorzystywany w systemach uczenia maszynowego, analizie danych, automatyzacji i architekturach retrieval-augmented generation.
Z perspektywy platformowej mamy do czynienia z dalszą standaryzacją. Ponad połowę 25 najczęściej stosowanych obrazów stanowiły ekosystemy językowe, takie jak Python, Node.js, Java, Go i .NET. Obok nich utrzymują się komponenty infrastrukturalne odpowiadające za ruch sieciowy, monitoring oraz procesy GitOps.
W warstwie bezpieczeństwa szczególnie istotny jest gwałtowny wzrost liczby wykrywanych i usuwanych podatności. W poprzednim raporcie odnotowano 154 unikalne CVE oraz 10 100 przypadków poprawek, natomiast w bieżącym okresie wartości te wzrosły odpowiednio do 377 i 33 931. Oznacza to wzrost liczby unikalnych podatności o 145% oraz ponad trzykrotny wzrost liczby remediacji.
Ważnym elementem pozostają również minimalne obrazy bazowe, w tym podejście distroless. Ograniczenie obrazu do niezbędnych komponentów zmniejsza powierzchnię ataku, a jednocześnie pozwala organizacjom dodawać wyłącznie te narzędzia, które są potrzebne do debugowania, automatyzacji i utrzymania procesów developerskich oraz operacyjnych.
Konsekwencje / ryzyko
Największe zagrożenie nie wynika dziś wyłącznie z najpopularniejszych komponentów, lecz z tak zwanego długiego ogona zależności. Mediana pokazuje, że około 74% obrazów używanych przez klientów pochodziło spoza 20 najpopularniejszych pozycji katalogu. Z tego samego obszaru pochodziło 96,2% instancji CVE.
To oznacza, że organizacje mogą skutecznie kontrolować główne elementy platformy, a jednocześnie pozostawać narażone przez poboczne biblioteki, mniej znane obrazy i rzadziej aktualizowane zależności. Wraz z rozwojem AI problem staje się jeszcze bardziej złożony, ponieważ większa liczba pakietów i komponentów trafia szybciej do środowisk testowych i produkcyjnych.
Dodatkowym wyzwaniem jest zgodność regulacyjna. Rosnące zainteresowanie obrazami zgodnymi z FIPS pokazuje, że bezpieczeństwo techniczne coraz częściej musi iść w parze z wymaganiami audytowymi, branżowymi i formalnymi.
Rekomendacje
Organizacje powinny przede wszystkim zwiększyć widoczność całego łańcucha dostaw oprogramowania, a nie tylko najpopularniejszych komponentów. Kluczowe jest utrzymywanie pełnego spisu używanych obrazów, pakietów, bibliotek i zależności pośrednich wraz z ich wersjami.
- Stosować minimalne i utwardzone obrazy bazowe.
- Ograniczać liczbę instalowanych pakietów do niezbędnego minimum.
- Regularnie odświeżać artefakty używane w buildach i środowiskach runtime.
- Integrwać skanowanie CVE z procesami budowania, wdrażania i eksploatacji.
- Blokować promocję artefaktów zawierających krytyczne i wysokie podatności, chyba że istnieje formalnie zatwierdzony wyjątek.
- Zwracać szczególną uwagę na komponenty AI, zwłaszcza Python, bazy danych i narzędzia do przetwarzania danych.
- Uwzględniać wymagania compliance już na etapie projektowania architektury.
Podsumowanie
Aktualne dane pokazują, że rozwój wspierany przez AI zmienia nie tylko tempo tworzenia oprogramowania, ale również strukturę ryzyka w łańcuchu dostaw. Rosnąca popularność Pythona i PostgreSQL, skokowy wzrost liczby wykrywanych CVE oraz dominacja podatności w mniej widocznych zależnościach wskazują, że bezpieczeństwo open source wymaga dziś znacznie szerszego podejścia.
Najważniejszy wniosek jest praktyczny: bez pełnej widoczności zależności, automatyzacji remediacji oraz ścisłej kontroli nad obrazami bazowymi utrzymanie bezpiecznego środowiska produkcyjnego będzie coraz trudniejsze. W erze AI dojrzałość procesów bezpieczeństwa staje się warunkiem utrzymania tempa rozwoju bez zwiększania ekspozycji na ryzyko.