Dans son rapport annuel 2025 sur la chaîne d’approvisionnement logicielle, JFrog dresse un constat sans appel : la complexité et le rythme d’évolution des environnements de développement dépassent désormais la capacité de nombreuses entreprises à en maîtriser les risques. Un contexte technologique sous tension, alors que l’adoption massive de l’intelligence artificielle générative, la diversification des langages et la prolifération des composants logiciels open source transforment radicalement les pratiques DevSecOps.
Aussi, les chaînes logicielles sont toujours plus fragmentées et multilingue. Les chercheurs de JFrog ont comptabilisé 64 % des organisations qui utilisent désormais sept langages de programmation ou plus — un chiffre en hausse de 14 % en un an — les chaînes logicielles modernes sont devenues multi-technologies par essence. Près de 44 % en utilisent même dix ou plus. Cette dispersion technologique est une réponse directe à la diversité des cas d’usage (microservices, mobile first, IA, IoT…) mais elle génère aussi un environnement logiciel hétérogène, difficile à auditer et à standardiser.
De meilleures pratiques chez les grands comptes
Fait marquant : au-delà d’un certain seuil (10 000 salariés), la tendance s’inverse, suggérant un effort de rationalisation technologique. Une majorité de ces grandes structures tend à réduire le nombre de langages utilisés, probablement pour maîtriser les coûts opérationnels et limiter les risques liés à la prolifération des dépendances.La pression du time-to-market pousse à l’intégration massive de paquets. Selon les données du rapport, une organisation type introduit en moyenne 458 nouveaux paquets logiciels par an — soit plus d’un par jour ouvré. Ce chiffre monte à plus de 346 000 pour les entreprises les plus actives. Une cadence qui reflète la course à la vélocité, alors que les entreprises cherchent à innover rapidement en intégrant des bibliothèques open source, des conteneurs préconfigurés ou des modèles IA.
Le recours à des registres publics comme Docker Hub, npm, Maven ou Hugging Face connaît une croissance soutenue. En 2024, Docker Hub a ajouté près de 2 millions d’images, et Hugging Face plus d’un million de modèles et jeux de données. Une dynamique qui reflète l’essor des architectures cloud-natives et la généralisation des workflows CI/CD automatisés, mais qui expose les organisations à des composants de qualité inégale, parfois obsolètes ou malveillants.
Des technologies massivement adoptées… mais peu maîtrisées
Dans l’univers DevSecOps, certaines technologies se démarquent par leur omniprésence : Maven, npm, Docker et PyPI concentrent l’essentiel des requêtes de dépôt et de téléchargement. JFrog observe également une montée en puissance du gestionnaire de paquets Cargo, sous l’effet des appels des autorités américaines à privilégier des langages « memory-safe » comme Rust pour les logiciels critiques.Chaque secteur adopte des combinaisons différentes : le secteur automobile et les objets connectés utilisent notamment Conan pour les dispositifs embarqués ; les institutions financières et assurantielles se tournent vers des combinaisons classiques (Maven, npm) auxquelles s’ajoutent des bibliothèques Python pour l’IA ; les entreprises IA et robotiques exploitent massivement Hugging Face, PyPI, et intègrent leurs modèles dans des conteneurs Docker ou OCI.
L’intelligence artificielle accélère la mutation de la chaîne logicielle
L’année 2024 a vu une explosion de l’utilisation de modèles d’IA dans les pipelines de développement. Plus de 500 dépôts Hugging Face ont été créés par des utilisateurs de JFrog. Cette ruée vers l’IA modifie structurellement les chaînes logicielles : 64 % des organisations utilisent des modèles hébergés, mais près de la moitié adoptent également un hébergement interne, mélangeant solutions propriétaires et open source.Or, seules 37 % des organisations disposent d’un processus de gouvernance clair pour approuver les modèles utilisés. Cette absence de supervision ouvre la voie à des dérives, comme en témoignent les attaques identifiées par JFrog, dont certaines impliquaient des modèles d’IA hébergeant des portes dérobées actives dès leur chargement en mémoire.
Une sécurité tributaire de pratiques encore immatures
Malgré un empilement croissant d’outils de sécurité, 73 % des organisations utilisent7 solutions ou plus, certaines pratiques restent à risque. Ainsi, 71 % des répondants autorisent toujours les développeurs à télécharger des paquets directement depuis Internet, sans traçabilité ni contrôle de conformité. Dans le même temps, l’adoption de référentiels proxy (type Artifactory), permettant d’auditer tous les composants intégrés, reste marginale. De plus, moins de la moitié des entreprises scannent à la fois le code source et les binaires de leurs applications, ce qui laisse des angles morts, notamment sur les secrets injectés lors de la compilation ou les vulnérabilités introduites par des dépendances transitoires.
Les exemples documentés dans le rapport sont édifiants. En mars 2024, un backdoor très avancé a été découvert dans XZ Utils, une bibliothèque utilisée dans de nombreuses distributions Linux. Dans le même temps, des campagnes massives de maliciel ont inondé Docker Hub, avec des millions de dépôts vides mais contenant des métadonnées piégées.
Côté IA, certains modèles sur Hugging Face exécutaient du code dès leur chargement, offrant un accès distant à la machine hôte. Ces attaques exploitent la confiance excessive dans les registres publics, mais aussi le manque de vérification de la provenance et de la légitimité des composants utilisés.
Il faut industrialiser la gouvernance des composants
Le rapport de JFrog 2025 est un signal d’alarme pour les directions technologiques. Dans un environnement où l’innovation est aussi rapide que les menaces sont évolutives, il devient impératif de repenser la chaîne logicielle comme un système vivant, nécessitant des politiques de sécurité prédictives, holistiques et automatisées.Face à l’hétérogénéité croissante des outils, des langages et des frameworks, seules les organisations capables d’unir la rigueur de la conformité, la transparence des composants et l’agilité des développeurs tireront leur épingle du jeu. L’heure n’est plus à l’addition d’outils mais à la consolidation des pratiques.
