概要
Chainguardが公開した「State of Trusted Open Source Report(2026年4月版)」は、2025年12月から2026年2月までの期間に2,200以上のコンテナイメージプロジェクトと33,931件の脆弱性インスタンスを分析した調査結果をまとめたものだ。最大の注目点は、ユニーク脆弱性数が前四半期比145%増と急増した一方で、修正の中央値は安定した2.0日を維持していたことである。AIコード生成ツールの普及による開発サイクルの加速が、脆弱性発見件数の急増に直接影響していると報告は指摘する。
AI活用がもたらした技術スタックの変化
AIワークロードの本番環境への流入が、利用技術スタックにも明確な変化をもたらした。Chainguardの顧客の72.1%がPythonイメージを使用しており、機械学習やデータ処理ワークフローの主軸として定着している。またPostgreSQLの利用は前四半期比73%増と急伸しており、AI向けのベクター検索やRAG(検索拡張生成)機能の採用が主な要因とされる。上位25の本番イメージのうち半数以上を言語エコシステムが占め、Node(60.7%)、Java(44.4%)、Go(42.8%)、.NET(27%)が主要インフラを支えている。
脆弱性の急増と修正対応力
脆弱性の件数は急増したが、対応速度は維持された。組織は前四半期比で300%以上の修正を適用し、それにもかかわらず高リスク脆弱性の97.9%が1週間以内に修正されている。最も懸念されるのは、CVEインスタンスの96.2%が最もよく使われる上位20イメージの外側で発生している点だ。顧客は中央値で74%のイメージをこの上位20外から調達しているが、こうした「見えにくい依存関係」へのセキュリティ注目度は依然として低く、サプライチェーンリスクの温床となっている。
コンプライアンス対応とFIPS普及の加速
規制対応という観点では、FIPS準拠のPythonイメージが初めて顧客数トップ10に入り、セキュリティコンプライアンスが事実上の標準要件へと移行しつつあることを示している。現在、42%の顧客が本番環境で少なくとも1つのFIPSイメージを稼働させており、FedRAMP・PCI DSS・SOC 2に加え、EUサイバーレジリエンス法(CRA)などの規制要件が後押ししている。本レポートが示す核心は、AIによって開発規模が拡大し続ける中で、見過ごされがちな依存関係のセキュリティをいかに一貫して管理し続けるかという課題が、現代のソフトウェアセキュリティの最重要テーマになりつつある点だ。