أصدرت شركة Chainguard تقريرها الفصلي بعنوان The State of Trusted Open Source، الذي يقدم صورة شاملة عن كيفية استهلاك المؤسسات الحديثة للبرمجيات مفتوحة المصدر والمخاطر التشغيلية المرتبطة بها. من أبرز النتائج أن لغة Python تصدرت قائمة الصور الأكثر استخداماً بين العملاء بنسبة 71.7%، لتصبح حجر الأساس في البنية التحتية للذكاء الاصطناعي، سواء في تطوير النماذج أو إدارة البيانات أو خدمات الاستدلال في بيئات الإنتاج. كما أظهر التقرير أن البنية التحتية الواقعية لا تعتمد فقط على المشاريع الأكثر شهرة، بل على مجموعة واسعة من الصور والأدوات التي تتجاوز قائمة العشرين مشروعاً الأكثر استخداماً، وهو ما يُعرف بـ الـ Longtail Images.
المخاطر تتجمع خارج المشاريع الأكثر شعبية
أحد أبرز الاستنتاجات هو أن 98% من الثغرات الأمنية (CVEs) التي تمت معالجتها ظهرت خارج المشاريع الأكثر شعبية. هذا يعني أن العبء الأمني الأكبر يتراكم في الأجزاء الأقل وضوحاً من البنية، حيث يصعب تطبيق التحديثات بشكل سريع. التقرير أشار إلى أن Chainguard تمكنت من القضاء على الثغرات الحرجة في أقل من 20 ساعة في المتوسط، مع معالجة 63.5% منها خلال 24 ساعة، و97.6% خلال يومين، و100% خلال ثلاثة أيام، وهو معدل أسرع بكثير من معايير الخدمة المتفق عليها (SLA).
الامتثال كعامل محفّز لاعتماد المصادر الموثوقة
أوضح التقرير أن الامتثال التنظيمي يشكل دافعاً رئيسياً لاعتماد البرمجيات مفتوحة المصدر الموثوقة. فـ 44% من العملاء يستخدمون صوراً متوافقة مع معايير FIPS في بيئات الإنتاج، وهو معيار تشفير خاص بالولايات المتحدة. وتتوزع أكثر الصور استخداماً في هذا السياق بين Python-fips (62%)، Node-fips (50%)، nginx-fips (47.2%)، go-fips (33.8%)، redis-fips (33.1%)، إضافة إلى مكونات منصات مثل Istio وCert-manager. هذا يعكس كيف أن الأطر التنظيمية مثل PCI DSS وSOC 2 وEU Cyber Resilience Act تدفع المؤسسات إلى تبني حلول أكثر صرامة في الأمن السيبراني.
البنية الإنتاجية: مزيج من الأساسيات والـ Longtail
أظهر التقرير أن الصور الأكثر شعبية تمثل فقط 1.37% من إجمالي الصور المتاحة، لكنها تستحوذ على نصف عمليات السحب. أما النصف الآخر فيأتي من 1,436 صورة Longtail، تشكل 61.42% من متوسط محفظة العملاء. هذا يوضح أن نصف أحمال العمل الإنتاجية تعتمد على صور Longtail، وهي ليست حالات استثنائية بل جزء أساسي من البنية التحتية. وبالتالي، فإن بناء الثقة في المصادر المفتوحة يتطلب الحفاظ على نفس مستوى الأمان والسرعة عبر كامل المحفظة، وليس فقط المشاريع الأكثر شهرة.
