Em 2025, o mundo não se limitou a produzir mais software. Reutilizou mais software, mais vezes, a uma velocidade sem precedentes.
É esta a conclusão central do State of the Software Supply Chain 2026, o 11.º Relatório Anual da Sonatype. O documento confirma aquilo que muitas equipas já sentem no terreno: a cadeia de fornecimento de software entrou definitivamente em escala máquina — e isso altera profundamente o modelo de risco.
Se no relatório anterior a tónica estava na complexidade e na exposição, este ano a mensagem é mais estrutural: a confiança à escala é agora o principal desafio técnico e de negócio do software moderno.
Os números que definem 2025
Há quatro indicadores que sintetizam o estado atual do ecossistema open source:
- 1.233.219 pacotes de malware open source registados desde 2019
- 9,8 biliões de downloads em 2025 (Maven Central, PyPI, npm e NuGet)
- 27,76% de taxa de “alucinação” em recomendações de upgrade feitas por LLMs
- 65% das vulnerabilidades open source ficaram sem classificação CVSS no NVD
Estes números revelam um desfasamento crescente entre a escala do consumo e a maturidade dos mecanismos de controlo.
A inovação acelerou. A governação não acompanhou ao mesmo ritmo.
Quando o crescimento encontra a gravidade
Os principais registos públicos atingiram 9,8 biliões de downloads em 2025. No entanto, este crescimento não significa necessariamente mais inovação. Uma parte relevante do tráfego resulta de pipelines CI/CD mal configuradas, ambientes efémeros sem cache persistente, re-downloads redundantes e dependências transitivas desnecessárias.
O open source não é o problema. A ausência de controlo consistente é.
O relatório distingue dois fenómenos: crescimento orgânico e crescimento sintético. O primeiro reflete adoção legítima — cloud, IA, novos frameworks. O segundo resulta de automatismos descontrolados, spam publishing e campanhas de malware.
Malware open source: de exceção a modelo recorrente
2025 marca um ponto de inflexão. Foram identificados mais 454 mil novos pacotes maliciosos num único ano, elevando o total acumulado para mais de 1,2 milhões. Mais de 99% deste malware foi publicado no npm.
Os ataques tornaram-se mais sofisticados: campanhas multi-stage, exfiltração de credenciais, hijacking de pacotes populares e atividade associada a grupos patrocinados por estados. O alvo deixou de ser apenas a aplicação final; passou a ser o próprio processo de desenvolvimento, incluindo developers, pipelines e sistemas onde residem tokens e credenciais.
Vulnerabilidades: três camadas de falha
O relatório identifica fragilidades em três níveis distintos.
Camada de dados.
65% dos CVEs open source ficaram sem classificação CVSS oficial. Sem métricas fiáveis, a priorização de risco torna-se arbitrária e inconsistente.
Camada de consumo.
Mesmo quando existem correções disponíveis, versões vulneráveis continuam a ser descarregadas em massa. A inércia operacional e dependências esquecidas perpetuam risco evitável.
Camada de ecossistema.
A utilização crescente de software em fim de vida (EOL) transforma vulnerabilidades conhecidas em dívida estrutural.
Estas falhas não são isoladas; reforçam-se mutuamente.
IA: produtividade sem validação é risco amplificado
A inteligência artificial já integra o quotidiano das equipas de desenvolvimento. Assistentes de código e ferramentas de sugestão de upgrades prometem eficiência, mas o relatório revela uma limitação crítica:
27,76% das recomendações de upgrade feitas por LLMs apontavam para versões inexistentes.
Quando estas sugestões entram diretamente em pipelines automatizadas, o erro escala. Modelos treinados com dados estáticos não validam a existência real das versões que sugerem nem acompanham a evolução dinâmica dos registos públicos.
A IA pode ser um acelerador poderoso — desde que esteja ancorada em fontes de verdade atualizadas e mecanismos automáticos de verificação. Sem esse enquadramento, transforma pequenas imprecisões em risco operacional.
Transparência como requisito estrutural
A confiança na cadeia de fornecimento deixou de ser declarativa. SBOMs, atestações de proveniência e rastreabilidade tornaram-se exigências regulatórias e contratuais em vários mercados.
A confiança deixou de ser um discurso. Passou a ser um artefacto técnico.
A implicação é simples: a evidência de segurança deve ser gerada automaticamente no processo de build e integrada nas pipelines de entrega contínua. Organizações que internalizam este princípio reduzem fricção regulatória, simplificam auditorias e fortalecem a sua posição competitiva.
O que isto significa para as organizações portuguesas
Para organizações em Portugal, estas tendências traduzem-se numa necessidade clara: profissionalizar a governação da cadeia de fornecimento de software.
Isso implica consolidar repositórios internos, aplicar políticas explícitas de consumo, distinguir dependências realmente utilizadas de dependências transitivas irrelevantes e integrar ferramentas de Software Composition Analysis com dados atualizados e contextualizados.
Mais do que tecnologia, trata-se de alinhamento entre engenharia, segurança e gestão.
É neste enquadramento que a homeostase, enquanto parceira e revendedora oficial da Sonatype em Portugal, apoia organizações na implementação de soluções que permitem ganhar visibilidade, reduzir risco e responder a exigências regulatórias com confiança técnica.
Confiança à escala como decisão estratégica
O 11.º Relatório Anual da Sonatype mostra que o desafio central do software moderno não é inovar, mas sim, sustentar a inovação num ecossistema que opera à escala máquina. A velocidade continuará a aumentar. A automação será cada vez mais profunda. A pressão regulatória não diminuirá.
A vantagem competitiva pertence às organizações que conseguem alinhar rapidez com controlo e transparência com eficiência.
A confiança à escala não é um detalhe técnico; é uma decisão estratégica. E é essa decisão que define quem lidera — e quem apenas reage — na próxima fase da transformação digital.
Fonte aqui.
