Laporan Terbaru Open Source Terpercaya: CVE Meningkat 145% Karena AI
Pada Desember 2025, laporan perdana berjudul The State of Trusted Open Source mengungkapkan data penting terkait konsumsi open source berdasarkan katalog proyek container image, versi, bahasa pemrograman, dan build yang digunakan oleh pelanggan. Laporan ini memberikan gambaran lengkap tentang apa yang digunakan tim pengembang sehari-hari, serta tantangan keamanan yang mereka hadapi.
Memasuki kuartal pertama 2026, percepatan pengembangan perangkat lunak semakin nyata dengan integrasi artificial intelligence (AI) di hampir seluruh siklus pengembangan, mulai dari pembuatan kode hingga otomatisasi infrastruktur. Model AI yang semakin canggih memungkinkan tim membangun dan meluncurkan perangkat lunak dengan lebih cepat dan efisien, namun juga mengubah lanskap keamanan secara signifikan.
Kenaikan Penggunaan Python dan PostgreSQL Terkait AI
Python tetap menjadi image paling populer dengan 72,1% pelanggan Chainguard menggunakannya, menegaskan perannya sebagai bahasa utama untuk machine learning, pipeline data, dan otomatisasi. Selain itu, PostgreSQL mencatat peningkatan penggunaan sebesar 73% secara kuartalan, menandakan adopsi luas teknologi AI modern yang memanfaatkan basis data ini untuk pencarian vektor dan penerapan generasi berbasis retrieval-augmented.
Node.js juga tetap menjadi pondasi infrastruktur aplikasi dengan 60,7% pengguna, bersama Python membentuk lapisan runtime dominan untuk aplikasi modern. Tren ini menunjukkan bagaimana AI mendorong evolusi tumpukan teknologi yang semakin terstandardisasi di berbagai industri.
Standarisasi Tumpukan Platform Modern
Data menunjukkan lebih dari 50% dari 25 image terpopuler merupakan ekosistem bahasa pemrograman yang dominan seperti Python, Node, Java, Go, dan .NET. Di luar runtime, komponen cloud-native seperti nginx, service mesh, Prometheus untuk monitoring, serta alat GitOps seperti ArgoCD dan kubectl semakin menjadi standar operasional.
Hasilnya adalah arsitektur berlapis yang konsisten dan dapat diprediksi di banyak organisasi, menggabungkan runtime terbatas dengan komponen operasional bersama dan beragam dependensi panjang yang berbeda-beda.
Chainguard Base: Fondasi Baru untuk Tooling Pengembang
Image chainguard-base, sebuah base image minimal tanpa toolchain atau aplikasi, kini menjadi image kelima paling banyak digunakan oleh pelanggan (36,3%). Fungsi utamanya adalah sebagai "sabuk alat" yang dapat dikustomisasi sesuai kebutuhan, dengan lebih dari 75% pelanggan menyesuaikan minimal satu image.
Penyesuaian ini biasanya berisi paket utilitas pengembang dan operasional seperti curl, bash, jq, git, dan alat cloud yang diperlukan untuk membangun, debugging, dan menjalankan perangkat lunak. Chainguard Base berperan sebagai fondasi aman dan fleksibel untuk pipeline CI/CD, lingkungan debugging, dan platform internal.
Peningkatan CVE hingga 145% Akibat AI
Percepatan pengembangan juga berdampak pada keamanan. Jumlah kerentanan unik (CVE) meningkat 145% menjadi 377, sementara perbaikan (fix instances) melonjak lebih dari 300% dibanding kuartal sebelumnya. Ini menandakan AI tidak hanya mempercepat pembuatan kode, tapi juga mempercepat penemuan kerentanan melalui teknik otomatisasi dan analisis skala besar.
"Perkembangan ini menciptakan siklus umpan balik yang lebih ketat antara pengembangan dan keamanan, dengan lebih banyak kode, dependensi, dan kerentanan yang diidentifikasi secara simultan," ujar tim Chainguard.
Meskipun volume kerentanan meningkat drastis, waktu median untuk remediasi tetap stabil di sekitar 2 hari, dengan 97,9% kerentanan tingkat tinggi berhasil diperbaiki dalam satu minggu. Ini menunjukkan kemampuan Chainguard dalam mengelola peningkatan risiko tanpa mengorbankan responsivitas.
Risiko Nyata Berasal dari Long Tail Proyek
Meski komponen inti semakin terstandarisasi, mayoritas risiko keamanan justru berasal dari long tail proyek yang kurang populer. Sekitar 96% kerentanan terjadi pada image di luar 20 proyek paling populer, mencerminkan kompleksitas dan luasnya ekosistem perangkat lunak yang digunakan di produksi.
Ini berarti tim pengembang seringkali tidak menyadari eksposur terbesar mereka karena terkonsentrasi pada image populer, sementara kerentanan tersebar di dependensi yang jarang diperhatikan. Penyerang juga cenderung memanfaatkan area yang kurang diperhatikan ini.
Compliance Mendorong Adopsi Open Source Terpercaya
Regulasi yang semakin ketat mempengaruhi pola penggunaan. Untuk pertama kalinya, image Chainguard yang FIPS-compliant (python-fips) masuk ke dalam 10 besar image berdasarkan jumlah pelanggan. Adopsi FIPS juga meningkat pada Node dan nginx.
Saat ini, 42% pelanggan menjalankan setidaknya satu image FIPS di produksi, menandai pergeseran penting dimana kepatuhan terhadap standar seperti FedRAMP, PCI DSS, SOC 2, dan EU Cyber Resilience Act menjadi kebutuhan dasar, bukan pilihan.
Analisis Redaksi
Menurut pandangan redaksi, laporan ini mengungkapkan transformasi besar dalam pengembangan perangkat lunak akibat AI yang berdampak signifikan pada keamanan rantai pasok software. Lonjakan CVE dan perbaikan menunjukkan bahwa AI mempercepat siklus hidup perangkat lunak tapi juga membuka lebih banyak celah yang harus cepat ditangani.
Fakta bahwa 96% kerentanan berasal dari long tail menegaskan bahwa pendekatan keamanan yang hanya fokus pada komponen populer sudah tidak memadai. Organisasi perlu mengadopsi strategi keamanan menyeluruh yang mencakup seluruh dependensi, termasuk yang kurang terlihat, agar dapat mengurangi risiko secara efektif.
Selain itu, meningkatnya kepatuhan terhadap standar seperti FIPS menunjukkan bahwa regulasi akan semakin menjadi pendorong utama dalam pemilihan dan pengelolaan open source. Ke depan, perusahaan harus mengintegrasikan keamanan dan kepatuhan sejak awal siklus pengembangan, memanfaatkan solusi seperti yang ditawarkan Chainguard untuk membangun fondasi yang terpercaya.
Dengan percepatan AI dan kompleksitas ekosistem perangkat lunak, tantangan terbesar bukan hanya mengikuti laju inovasi, tapi memastikan keamanan dan kepercayaan tetap terjaga. Laporan ini menjadi peringatan sekaligus panduan penting bagi semua pemangku kepentingan di dunia pengembangan perangkat lunak modern.
Untuk informasi lebih lanjut, Anda dapat membaca laporan lengkap di The Hacker News dan mengikuti perkembangan terbaru di berbagai platform berita teknologi.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0
