Chainguard最新报告指出，容器镜像和开源依赖的安全漏洞问题严重，尽管流行镜像占比小，但大部分漏洞集中在不常用的长尾镜像中。报告强调及时修复关键漏洞的重要性，Chainguard平均修复时间不到20小时。44%的客户使用FIPS合规镜像，整体来看，现代软件的安全风险主要集中在不常用的开源组件上。

在2025年伦敦QCon大会上，Celine Pypaert提出了管理开源依赖风险的三部分蓝图：识别和优先处理漏洞，使用软件组成分析工具，与安全团队合作，以及将安全修复从被动转为主动，自动化安全任务以提高效率。

在2025年QCon伦敦大会上，Celine Pypaert提出了管理开源依赖风险的三部分蓝图：识别和优先处理漏洞，使用软件组成分析工具，与安全团队合作，以及将安全修复从被动转为主动，利用自动化工具提升效率。

为了将Karui添加到IzzyOnDroid的F-Droid仓库，必须遵循严格规则以确保代码可重现。这意味着任何人都可以从源代码编译出相同的APK。为此，移除了非自由依赖，确保所有依赖开源，并使用GitHub Actions自动化签名过程。现在，Karui已获得IzzyOnDroid的批准，Android用户可以通过F-Droid轻松安装和更新。