Chainguard expõe riscos ocultos no open source corporativo
Chainguard divulgou seu relatório trimestral “The State of Trusted Open Source”, revelando como empresas consomem software livre, onde surgem as vulnerabilidades e quão rápido elas são corrigidas.
Python domina a IA, mas o perigo mora no “longtail”
Ao analisar mais de 1.800 projetos de imagens de contêiner, 148 mil versões e quase meio bilhão de builds, a Chainguard constatou que o stack de inteligência artificial gira em torno do Python, presente em 71,7 % dos ambientes. Node, Nginx, Go e Redis completam o “top 20”.
O ponto crítico, porém, está fora desse radar: metade das cargas de produção roda em 1.436 “longtail images” – pacotes menos famosos que representam 61,4 % do portfólio médio dos clientes. É nesse conjunto que se concentram 98 % das vulnerabilidades corrigidas pela Chainguard nos três meses analisados (10.785 instâncias de CVE).
Esse cenário reforça o alerta de que popularidade não equivale a segurança. Como discutido por especialistas de segurança em referência do setor como The Verge, a superfície de ataque cresce justamente nos componentes menos visíveis.
Compliance e velocidade de correção viram diferencial
Pressões regulatórias também moldam decisões técnicas. O estudo mostra que 44 % dos clientes executam pelo menos uma imagem compatível com FIPS, padrão de criptografia exigido pelo governo dos EUA e adotado em frameworks como PCI DSS, SOC 2 e o futuro Cyber Resilience Act europeu.
Imagem: Internet
Para conquistar confiança, a Chainguard destaca o tempo de remediação: falhas críticas foram eliminadas em menos de 20 horas em média. Dos CVEs críticos, 63,5 % sumiram em 24 h, 97,6 % em dois dias e 100 % em três. Mesmo vulnerabilidades de severidade alta, média ou baixa ficaram bem abaixo dos SLAs internos de sete e 14 dias, respectivamente.
Em termos práticos, a lição é clara: equipes de engenharia devem monitorar todo o ecossistema de dependências, e não só os repositórios mais usados. Caso contrário, a maior parte da exposição continuará “silenciosa” no fundo da pilha.
Quer acompanhar outras tendências que impactam seu setup de desenvolvimento e segurança? Visite a página inicial da Games In e continue por dentro das novidades do universo tech.
Crédito da imagem: Chainguard Fonte: Chainguard


