What is the JFrog Software Supply Chain Security State of the Union report?

Now in its fourth year, this annual research report tracks software supply chain threats, open source vulnerabilities, CVE trends, and more. It's designed to show where software supply chain security stands today, where governance is failing, and where attackers are likely to focus next.

How is this different from other security reports?

The JFrog Software Supply Chain Security Report for 2026 employs a three-pillar methodology, utilizing expert intelligence on a massive scale. It includes original threat research from the JFrog Security Research team, direct and anonymized data from thousands of real-world enterprises, and a commissioned survey of 1,500+ professionals across eight countries.

Who is this report for?

Security engineers, DevOps and platform teams, and industry leaders who need to know where real risk is accumulating, not just what the CVE databases say. It's also built for anyone who needs to justify investment to a board: the data shows not just what to fix, but why it matters and what peers are doing about it.

Does the report address AI security risks in the software supply chain?

Yes. As organizations adopt AI models, they introduce new attack vectors. We examine the specific dangers of running AI on internal infrastructure, including emerging security risks. Read the report to understand how to govern these new dependencies effectively and manage the AI security risks that software supply chain teams face today.

How are malicious packages in 2026 impacting development?

Attackers are finding new ways to infiltrate registries, leading to a rise in sophisticated campaigns. Our research focuses on the surge in these threats and the ways they bypass traditional security layers—using npm as a primary example of these evolving tactics. The full report details the volume and impact of these attacks on modern development cycles.

L’état des lieux de la sécurité de la chaîne d’approvisionnement logicielle 2026 de JFrog

Le fossé croissant en matière de gouvernance.

Davantage de packages. Davantage de modèles malveillants. Davantage de surfaces d’attaque qui n’existaient pas il y a un an. Et au milieu de tout cela, les organisations ont réduit de près de moitié leur nombre d’outils de sécurité des applications. Les entreprises croient sincèrement qu’elles deviennent plus agiles, plus rapides, plus réfléchies, qu’elles maîtrisent davantage leurs activités et qu’elles en font plus avec moins. Mais est-ce réellement le cas ?

Le rapport 2026 combine des renseignements originaux sur les menaces provenant de l’équipe de recherche en sécurité de JFrog, les données de l’année complète provenant de la JFrog Platform, ainsi que les réponses de plus de 1 500 professionnels de la sécurité et du DevOps répartis dans huit pays, pour comprendre où en est réellement la sécurité de la chaîne d’approvisionnement logicielle aujourd’hui, et où les lacunes en matière de gouvernance se creusent plus vite que quiconque ne veut l’admettre.

Télécharger le rapport

Le rapport 2026 de JFrog sur la sécurité de la chaîne d’approvisionnement logicielle révèle :

De nouveaux packages ont intégré les chaînes d’approvisionnement logicielles en 2025, soit une augmentation de 67 % par rapport à l’année précédente.

Combien ont été examinés ?

De nouveaux packages malveillants ont été découverts en 2025, au cours d’une année où seulement 40 % des organisations disposaient d’outils de détection.

Quel package est arrivé en tête de liste ?

Des organisations exécutent des modèles d’IA sur leur propre infrastructure, s’exposant ainsi à des charges utiles malveillantes dans les modèles open source.

Qu’y avait-il à l’intérieur ?

Des entreprises mettent plus d’une semaine à prouver qu’une seule application est conforme lorsque les auditeurs le demandent.

Où se situe la lacune ?

La cartographie de l’écosystème est en train d’être redessinée

npm a dépassé Maven en tant qu’écosystème de packages d’entreprise le plus utilisé en termes de trafic. Dans le même temps, Hugging Face a dépassé 1,4 million de nouveaux modèles, rivalisant désormais avec Docker Hub en termes de nouveaux packages ajoutés chaque année, tout en représentant une catégorie d’artefacts entièrement différente que la gouvernance traditionnelle des packages n’a jamais été conçue pour gérer.

2025

2024

Toutes les vulnérabilités ne sont pas ce qu’elles paraissent

Le nombre total de divulgations de CVE a augmenté de 20 % pour dépasser 48 000, rendant impossible un triage basé sur le volume. Mais le décompte brut n'est pas le bon indicateur. Lors d'un examen de 248 CVE très médiatisées, JFrog a constaté que seulement 11,9 % étaient réellement exploitables. Cela signifie que 88 % des alertes critiques ne sont que du bruit, ce qui fait perdre du temps aux développeurs.

248

Applicabilité des CVE

Faible applicabilité
(Applicabilité de 0 % à 20 %)

Applicabilité modérée
(Applicabilité de 20 % à 80 %)

Haute applicabilité
(Applicabilité de 80 % à 100 %)

Les vulnérabilités par injection sont en hausse de 3 110 %. Remerciez votre assistant de codage IA.

Les CVE de scripts intersites ont presque triplé. Les CVE liés à l’injection SQL ont augmenté de 445 % en une seule année. Les vulnérabilités par injection ont augmenté de 3 110 %. Il s’agit de catégories de vulnérabilités vieilles de plusieurs décennies, bien comprises et évitables, qui sont en forte hausse, car le développement assisté par l’IA les produit à un volume qui dépasse toute capacité d’examen manuel.

2025

2024

XSS

Injection SQL

Injection

Vous avez toujours envie d’en savoir plus ?

Comparez les conclusions de cette année aux rapports précédents pour voir comment le paysage a évolué, de la montée des packages malveillants en 2026 aux nouveaux risques de sécurité de l’IA que les équipes chargées de la chaîne d’approvisionnement logicielle doivent gérer

État des lieux de la chaîne d'approvisionnement logicielle 2024

De l’innovation à l’infiltration : Protégez-vous contre les dangers cachés de votre écosystème logiciel

Download 2024’s Report

Bilan de la chaîne d’approvisionnement logicielle 2025

L’expansion du paysage des menaces met en péril l’intégrité des logiciels

Télécharger le rapport 2025

Foire aux questions

Qu’est-ce que le rapport 2026 de JFrog sur la sécurité de la chaîne d’approvisionnement logicielle ?

Désormais disponible dans sa quatrième édition, ce rapport de recherche annuel suit les menaces pesant sur la chaîne d’approvisionnement logicielle, les vulnérabilités open source, les tendances des CVE, et bien plus encore. Il est conçu pour montrer où en est la sécurité de la chaîne d’approvisionnement logicielle aujourd’hui, où la gouvernance échoue et où les auteurs d’attaques sont susceptibles de concentrer leurs efforts à l’avenir.
En quoi ce rapport est-il différent des autres rapports de sécurité ?

Le rapport 2026 de JFrog sur la sécurité de la chaîne d’approvisionnement logicielle s’appuie sur une méthodologie en trois piliers, faisant appel à l’expertise de spécialistes à grande échelle. Il comprend des recherches originales sur les menaces menées par l’équipe de recherche en sécurité JFrog, des données directes et anonymisées provenant de milliers d’entreprises réelles, ainsi qu’une enquête commandée auprès de plus de 1 500 professionnels répartis dans huit pays.
À qui s’adresse ce rapport ?

Les ingénieurs en sécurité, les équipes DevOps et plateforme, ainsi que les leaders du secteur qui ont besoin de savoir où le risque réel s’accumule, et pas seulement ce que disent les bases de données CVE. Il est également conçu pour toute personne qui doit justifier un investissement auprès d’un conseil d’administration : les données montrent non seulement ce qu’il faut corriger, mais aussi pourquoi c’est important et ce que les pairs font à ce sujet.

Le rapport traite-t-il des risques de sécurité liés à l’IA dans la chaîne d’approvisionnement logicielle ?

Oui. À mesure que les organisations adoptent des modèles d’IA, elles introduisent de nouveaux vecteurs d’attaque. Nous examinons les dangers spécifiques liés à l’exécution de l’IA sur une infrastructure interne, notamment les risques de sécurité émergents. Lisez le rapport pour comprendre comment gouverner efficacement ces nouvelles dépendances et gérer les risques de sécurité liés à l’IA auxquels les équipes chargées de la chaîne d’approvisionnement logicielle sont confrontées aujourd’hui.
Quel est l’impact des packages malveillants sur le développement en 2026 ?

Les auteurs d’attaques trouvent de nouvelles façons de s’infiltrer dans les registres, entraînant une hausse des campagnes sophistiquées. Nos recherches se concentrent sur la recrudescence de ces menaces et sur les manières dont elles contournent les couches de sécurité traditionnelles, en utilisant npm comme principal exemple de l’évolution de ces tactiques. Le rapport complet détaille le volume et l’impact de ces attaques sur les cycles de développement modernes.

AI Overview

La plateforme JFrog

L’état des lieux de la sécurité de la chaîne d’approvisionnement logicielle 2026 de JFrog

Le rapport 2026 de JFrog sur la sécurité de la chaîne d’approvisionnement logicielle révèle :

La cartographie de l’écosystème est en train d’être redessinée

Toutes les vulnérabilités ne sont pas ce qu’elles paraissent

Les vulnérabilités par injection sont en hausse de 3 110 %. Remerciez votre assistant de codage IA.

Vous avez toujours envie d’en savoir plus ?

Foire aux questions