The State of Trusted Open Source Report

2 minute de lecture

Mis à jour : April 02, 2026

L’impact de l’IA sur la sécurité des logiciels open source

Le développement logiciel connaît une accélération marquée par l’intégration massive de l’IA, modifiant les habitudes de consommation des bibliothèques et des conteneurs. Cette transformation s’accompagne d’une augmentation significative du volume de vulnérabilités découvertes et corrigées.

Points clés :

Adoption de la stack IA : Python demeure le langage dominant (72,1 % des clients), tandis que l’usage de PostgreSQL a bondi de 73 %, porté par les besoins en bases de données vectorielles pour l’IA.
Standardisation des plateformes : Plus de la moitié des images les plus utilisées sont des écosystèmes de langages (Python, Node, Java, Go, .NET).
Essor des bases sécurisées : L’utilisation d’images minimalistes (« distroless » comme chainguard-base) se généralise pour construire des environnements de travail personnalisés et sécurisés.
Volume de vulnérabilités : Une hausse de 145 % des CVE uniques et de 300 % des correctifs appliqués a été observée. Malgré ce volume, le délai médian de remédiation reste stable à environ 2 jours.
Le risque du « long tail » : 96 % des vulnérabilités se situent en dehors des 20 projets les plus populaires, soulignant que le risque majeur réside dans les dépendances moins visibles.
Exigences de conformité : La conformité (FIPS) devient un standard, 42 % des utilisateurs intégrant au moins une image certifiée dans leurs pipelines.

Vulnérabilités :

Le rapport identifie 377 CVE uniques. Bien que les CVE spécifiques ne soient pas listées individuellement dans le texte, l’analyse démontre que la majorité des risques critiques se trouvent dans la “long tail” (dépendances indirectes ou secondaires), et non dans les composants de base les plus exposés.

Recommandations :

Intégrer la sécurité au cycle de vie : Ne pas traiter la sécurité comme une étape finale, mais l’intégrer nativement dans le processus de développement dès la conception.
Standardiser sur des bases sécurisées : Utiliser des images minimales et durcies (distroless) pour réduire la surface d’attaque et permettre une personnalisation maîtrisée des outils.
Anticiper la conformité : Adopter des standards de sécurité (FIPS, FedRAMP, etc.) dès le début du développement pour répondre aux nouvelles exigences réglementaires (ex: EU Cyber Resilience Act).
Automatiser la remédiation : Mettre en place des outils capables de gérer le volume croissant de correctifs, la réactivité étant cruciale face à l’accélération de la découverte des failles par l’IA.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

The State of Trusted Open Source Report

L’impact de l’IA sur la sécurité des logiciels open source

Partager sur

Vous pourriez aimer

Why Third-Party Risk Is the Biggest Gap in Your Clients Security Posture

L’essor de la gestion des risques tiers (TPRM) : Un impératif stratégique

UNC1069 Social Engineering of Axios Maintainer Led to npm Supply Chain Attack

Compromission de la chaîne d’approvisionnement npm : L’attaque ciblée contre Axios

TeamPCP Supply Chain Campaign: Update 006 - CERT-EU Confirms European Commission Cloud Breach, Sportradar Details Emerge, and Mandiant Quantifies Campaign at 1,000+ SaaS Environments, (Fri, Apr 3rd)

État des lieux de la campagne de cyberattaques TeamPCP

New SparkCat Variant in iOS, Android Apps Steals Crypto Wallet Recovery Phrase Images

Menace mobile : Le malware SparkCat cible les portefeuilles crypto via OCR