Als Fortsetzung ihres Berichts vom Dezember 2025, *The State of Trusted Open Source*, hat **Chainguard** neue Einblicke in den Verbrauch von Open-Source-Software auf Basis von Produktdaten und ihrer Kundenbasis veröffentlicht. Diese Analyse umfasst Container-Image-Projekte, Versionen, Sprachbibliotheken und Builds und beleuchtet Bereitstellungsmuster, Schwachstellen und Behebungsbemühungen. ### KI gestaltet die Softwareentwicklung neu Die Softwareentwicklung beschleunigt sich rasant, was hauptsächlich auf die zunehmende Integration von KI im gesamten Entwicklungszyklus zurückzuführen ist. Von der Code-Generierung bis zur Infrastrukturautomatisierung werden KI-Modelle immer ausgefeilter und leistungsfähiger, um modernen Anforderungen gerecht zu werden. Dieser Wandel erweitert nicht nur die Entwicklungsmöglichkeiten, sondern gestaltet auch die Sicherheitslandschaft neu. ### Methodik des Berichts Der Bericht analysierte über 2.200 eindeutige Container-Image-Projekte, 33.931 Schwachstelleninstanzen insgesamt und 377 eindeutige **CVE**s vom 1. Dezember 2026 bis zum 28. Februar 2026. Die Begriffe "Top 20 Projekte" und "Long Tail Projekte" spiegeln reale Nutzungsmuster wider, die im Kundenportfolio von **Chainguard** und bei Produktionsabrufen beobachtet wurden. ### Wichtige Erkenntnisse Der neueste Bericht identifiziert mehrere Themen, die die Auswirkungen der KI-gesteuerten Entwicklung aufzeigen: * **Wachstum von Python und PostgreSQL:** Python bleibt das beliebteste Image (genutzt von 72,1 % der Kunden), während **PostgreSQL** eine Nutzungssteigerung von 73 % verzeichnete, was die Einführung eines modernen KI-Stacks unterstreicht. * **Standardisierter Plattform-Stack:** Sprachökosystem-Images machen über die Hälfte der Top 25 Images aus, die von **Chainguard**-Kunden in der Produktion verwendet werden. * **Chainguard Base als Fundament:** Das **chainguard-base**-Image, ein minimales distroless-Basis-Image, war das fünftmeistgenutzte **Chainguard**-Image und diente als anpassbarer "Werkzeuggürtel". * **Beschleunigte Schwachstellenerkennung:** **Chainguard** hat über 300 % mehr Fixes angewendet und einen Anstieg von 145 % bei den Schwachstellen verzeichnet, was darauf hindeutet, dass KI sowohl mehr Code vorantreibt als auch mehr **CVE**s aufdeckt. * **Risiko im Long Tail:** 96 % der Schwachstellen wurden außerhalb der Top 20 beliebtesten Projekte gefunden und behoben, was mit früheren Erkenntnissen übereinstimmt. * **Compliance treibt Adoption:** Eine **FIPS**-konforme Variante eines **Chainguard**-Container-Images erreichte die Top 10 der Images nach Kundenzahl. ## Nutzung: Trends bei der Produktionsbereitstellung Der Bericht hebt die Verbreitung von KI in der Code-Generierung hervor, was zu einer erhöhten Akzeptanz des Python-Sprachökosystems und verwandter Technologien führt. ### Beliebteste Images: Python und PostgreSQL führen #### PostgreSQL-Wachstum steigt stark an Das stärkste Wachstum wurde bei Images beobachtet, die mit der KI-Adoption übereinstimmen. **Python bleibt das am weitesten verbreitete Image**, wobei 72,1 % der **Chainguard**-Kunden ein Python-Image (einschließlich **FIPS**- und Nicht-**FIPS**-Varianten) verwenden. Dies spiegelt die Rolle von Python im Bereich maschinelles Lernen, Datenpipelines und Automatisierung wider. **Node** bleibt ein wichtiger Bestandteil der Anwendungsarchitektur und wird von 60,7 % der Kunden genutzt. Die bedeutendste Veränderung ist das quartalsweise Wachstum der **PostgreSQL**-Nutzung um 73 %. Dieses Wachstum korreliert mit dem Aufstieg von KI-Workloads, bei denen **PostgreSQL** für Vektorsuche und Retrieval-Augmented Generation verwendet wird, unterstützt durch Erweiterungen, die die Speicherung von Embeddings und Ähnlichkeitsabfragen ermöglichen.  ### Konvergenz moderner Plattformen #### Sprachökosysteme dominieren Produktionsumgebungen konvergieren um einen konsistenten Satz von Basiskomponenten. **Sprachökosysteme machen über die Hälfte der Top 25 Images aus**. Python (72,1 %), Node (60,7 %), Java (44,4 %), Go (42,8 %) und .NET (27 %) definieren die Laufzeitschicht, mit Wachstum in jedem Ökosystem. Teams standardisieren auch auf Cloud-Native-Komponenten wie **nginx**, Service-Mesh-Tools, **Prometheus**, **ArgoCD** und **kubectl**. Dies führt zu einer geschichteten Architektur mit einer kleinen Anzahl von Laufzeiten, gemeinsam genutzten operativen Komponenten und einem breiten Spektrum an unterstützenden Abhängigkeiten. Die Standardisierung erfolgt auf Plattformebene, auch wenn die anwendungsspezifische Variation zunimmt. ### Chainguard Base: Eine Grundlage für Werkzeuge #### Am häufigsten bereitgestelltes Image **Chainguard Base**, ein minimales distroless-Basis-Image, war das fünftmeist bereitgestellte Image und wurde von 36,3 % der Kunden genutzt. Es bietet eine sichere Grundlage, die Teams mit notwendigen Komponenten erweitern können. Anpassungsmuster zeigen, dass 95 % der angepassten Repositories zusätzliche Pakete enthalten und über drei Viertel der Kunden mindestens ein Image anpassen. Diese Anpassungen beinhalten oft das Hinzufügen von Entwickler- und Betriebswerkzeugen wie **curl**, **bash**, **jq**, **git** und Cloud-Tools, was ein Muster der Nutzung von **Chainguard Base** als sicheren Ausgangspunkt für CI/CD-Pipelines, Debugging-Umgebungen und interne Plattformwerkzeuge demonstriert. Mit der Reifung des Plattform-Engineerings wird der Bedarf an sicheren, anpassbaren Basisumgebungen immer deutlicher, was **Chainguard Base** als Kernbaustein positioniert.