Die Softwareentwicklung erlebt durch KI einen beispiellosen Beschleunigungsschub. Doch was auf der einen Seite Produktivitätsgewinne bringt, sorgt auf der anderen Seite für massiven Druck in der Software Supply Chain. Der aktuelle „State of Trusted Open Source Report“ von Chainguard zeichnet ein klares Bild: Die KI-Revolution formt nicht nur den modernen Tech-Stack, sie treibt auch die Anzahl der Sicherheitslücken in schwindelerregende Höhen.
Der moderne AI-Stack: Python und PostgreSQL dominieren
Wer im Jahr 2026 KI-Arbeitloads in Produktion bringt, greift zu einer sehr spezifischen Palette an Werkzeugen. Der Report macht deutlich, dass sich ein standardisierter AI-Stack herauskristallisiert. Python bleibt als Lingua franca für Machine Learning, Datenpipelines und Automatisierung unangefochten an der Spitze – 72,1 % der befragten Chainguard-Kunden nutzen Python-Container-Images.
Der eigentliche Gewinner dieses Quartals ist jedoch PostgreSQL. Die Nutzung der relationalen Datenbank stieg im Quartalsvergleich um 73 %. Dieser Zuwachs ist kein Zufall: PostgreSQL hat sich durch Erweiterungen für Vektorsuchen (Vector Search) und Retrieval-Augmented Generation (RAG) zum Rückgrat vieler KI-Anwendungen entwickelt. Wenn KI in Produktion geht, braucht sie eine leistungsfähige Datenbank – und das ist aktuell primär PostgreSQL.
Neben Python und Node.js (60,7 %), das die Applikationsinfrastruktur stützt, zeigt sich eine klare Konvergenz. Über die Hälfte der 25 beliebtesten Images entfällt auf Sprach-Ökosysteme. Die Plattform-Ebene standardisiert sich, während die Applikationsebene zunehmend fragmentiert bleibt.
Das Paradox der KI: Mehr Code, mehr CVEs
Der wohl wichtigste Befund des Reports betrifft die Sicherheit. KI beschleunigt nicht nur das Schreiben von Code, sondern auch das Auffinden von Schwachstellen. Die Zahlen sind alarmierend: Im letzten Quartal verzeichnete Chainguard 377 einzigartige CVEs – ein Anstieg von 145 % gegenüber dem Vorquartal. Die Zahl der Fixes kletterte sogar um über 300 % auf 33.931 Instanzen.
Das ist ein doppelter Effekt: Einerseits generieren Entwickler mithilfe von KI schneller mehr Code und binden dabei mehr Abhängigkeiten ein. Andererseits nutzen Sicherheitsforscher und Angreifer ebenfalls KI- und Automatisierungstechniken, um Code im großen Stil auf Schwachstellen zu scannen. Die Rückkopplungsschleife zwischen Development und Security wird immer enger – und schneller.
Bemerkenswert ist jedoch, dass Chainguard trotz dieser Flut an Schwachstellen die mediane Behebungszeit bei knapp 2,0 Tagen halten konnte (97,9 % der High-Severity-CVEs wurden innerhalb einer Woche gefixt). Das beweist: Wenn die Infrastruktur für automatisierte Remediation stimmt, lässt sich das Tempo mitgehen. Die Frage ist nur, ob das restliche Ökosystem da mithalten kann.
Das Long-Tail-Problem: Das Risiko lauert im Verborgenen
Während die Top-Images (wie Python, Node, nginx) extrem gut überwacht und schnell gepatcht werden, liegt das wahre Risiko im „Long Tail“. 96,2 % aller CVE-Instanzen traten außerhalb der 20 beliebtesten Projekte auf. Der durchschnittliche Kunde bezieht etwa 74 % seiner Images aus diesem Long Tail.
Das ist ein kritisches Missverhältnis: Die Infrastruktur, die Teams täglich im Blick haben, macht nur einen Bruchteil der tatsächlichen Angriffsfläche aus. Die Mehrheit der Schwachstellen versteckt sich in Nischen-Abhängigkeiten, die seltener aktualisiert und oft nicht direkt von den Application Teams betreut werden. Angreifer wissen das und suchen gezielt in diesen vernachlässigten Ecken nach Einfallstoren.
Distroless und FIPS: Die Wende zu Security by Default
Zwei Trends zeigen, dass sich das Bewusstsein für diese Risiken verschiebt. Erstens rücken minimale Basis-Images in den Fokus. Das „chainguard-base“ Image – ein distroless-Image ohne Toolchain oder Apps – kletterte auf Platz 5 der meistgenutzten Images. Über 75 % der Kunden passen mindestens ein Image an und nutzen es als eine Art Werkzeuggürtel (Utility Belt), um nur die wirklich nötigen Pakete (wie curl, bash, git) hinzuzufügen. Platform Engineering setzt hier auf sichere Fundamente.
Zweitens gewinnt Compliance massiv an Bedeutung. Zum ersten Mal schaffte es eine FIPS-konforme Variante (python-fips) in die Top 10 der Images. Insgesamt nutzen mittlerweile 42 % der Kunden mindestens ein FIPS-Image in Produktion. Angetrieben durch Regulierungen wie FedRAMP, PCI DSS, SOC 2 und den EU Cyber Resilience Act wird Compliance vom Nischen- zum Basis-Requirement.
Fazit
Der Chainguard-Report ist ein Weckruf. Die KI-Revolution im Software Engineering ist keine Zukunftsmusik, sie findet jetzt statt. Sie zwingt Organisationen, Security nicht als nachgeschalteten Filter zu betrachten, sondern als integralen Bestandteil des Development-Zyklus. Der Anstieg der CVEs ist keine temporäre Anomalie, sondern die neue Normalität. Wer den Long Tail seiner Abhängigkeiten nicht im Griff hat und keine standardisierten, sicheren Basis-Images nutzt, wird von der Geschwindigkeit der KI-Ära schlichtweg überrollt.
Quelle: The Hacker News
