? ?近日，中国智奇安信代码安全实验室发布《2025中国软件供应链安全分析报告》，软件这已是供应告WhatsApp%E3%80%90+86%2015855158769%E3%80%91ebi%20cranes该系列报告连续发布的第5年。本次报告不仅深入剖析过去一年软件供应链各阶段代码安全问题，链安更聚焦了开源大模型、全报智能网联汽车等新兴重点领域。模型报告显示，网联与历年相比，车风2024年国内企业自主开发的险亟软件项目源代码整体缺陷密度持续升高，达到了13.26个/千行，待重软件项目存在老旧开源软件漏洞的中国智状况没有改善，多个项目中依然存在20年前的软件开源软件漏洞。报告还发现，供应告主流10款开源大模型推理框架、链安5家主流厂商的全报汽车关键部件等均存在严重的软件供应链安全风险，这些重点领域的WhatsApp%E3%80%90+86%2015855158769%E3%80%91ebi%20cranes风险亟待行业重视。

? ?源代码整体缺陷密度持续升高?

? ?2024年全年，奇安信代码安全实验室对2344个国内企业自主开发的软件项目的源代码进行了安全缺陷检测，检测的代码总量为518742205行，共发现安全缺陷6882301个，其中高危缺陷289343个，整体缺陷密度为13.26个/千行，高危缺陷密度为0.55个/千行。与以往历年相比，整体缺陷密度持续升高，但高危缺陷密度与去年基本持平，较之前三年有较大幅降低。这说明开发者对高危缺陷类型的重点防范没有松懈。

?

? ?開源軟件作為現(xiàn)代軟件開發(fā)的基礎(chǔ)，其生態(tài)發(fā)展與安全狀況備受關(guān)注。報(bào)告指出，2024年開源軟件生態(tài)持續(xù)繁榮，主流開源軟件包生態(tài)系統(tǒng)中開源項(xiàng)目總量一年增長23.7%，首次突破1000萬。在開源軟件源代碼安全檢測中，對2262個(gè)開源軟件項(xiàng)目檢測發(fā)現(xiàn)，共存在安全缺陷4669955個(gè)，高危缺陷20590個(gè)，整體缺陷密度為16.54個(gè)/千行，高危缺陷密度為0.78個(gè)/千行，整體缺陷密度與去年基本持平，高危缺陷密度則有明顯下降，處于5年來最低水平。在開源軟件公開報(bào)告漏洞方面，2024年，CVE/NVD、CNNVD、CNVD等公開漏洞庫中新增開源軟件相關(guān)漏洞10320個(gè)。

?

? ?報(bào)告指出，國內(nèi)企業(yè)軟件開發(fā)中開源軟件應(yīng)用廣泛，且使用數(shù)量持續(xù)增長，平均每個(gè)軟件項(xiàng)目使用168個(gè)開源軟件。在漏洞風(fēng)險(xiǎn)方面，平均每個(gè)軟件項(xiàng)目存在66個(gè)已知開源軟件漏洞，較前兩年明顯減少，存在已知開源軟件高危漏洞、超危漏洞、容易利用漏洞的項(xiàng)目占比分別為73.0%、57.4%和57.5%，均比去年有大幅下降，但整體來看風(fēng)險(xiǎn)仍處于高位，并沒有根本上的改變，多個(gè)項(xiàng)目中甚至仍然存在20年前的古老開源軟件漏洞。開源軟件許可協(xié)議風(fēng)險(xiǎn)同樣不容忽視，21.2%的項(xiàng)目中使用了超危、高危開源許可協(xié)議，可能對企業(yè)商業(yè)利益和聲譽(yù)造成損害。此外，開源軟件運(yùn)維風(fēng)險(xiǎn)突出，近30年前的老舊開源軟件版本仍在使用，版本使用混亂問題依然存在。

? ?近9成關(guān)鍵基礎(chǔ)開源軟件從未公開披露過漏洞

? ?關(guān)鍵基礎(chǔ)開源軟件主要指被多于1000個(gè)其他開源軟件直接依賴的開源軟件，一旦出現(xiàn)漏洞，影響范圍巨大且消除困難。報(bào)告對5485款關(guān)鍵基礎(chǔ)開源軟件分析發(fā)現(xiàn)，有4806款從未公開披露過漏洞，占比達(dá)87.6%，該項(xiàng)數(shù)據(jù)呈現(xiàn)出逐年升高的趨勢，如下圖所示。?

?

? ?分析發(fā)現(xiàn)，造成關(guān)鍵基礎(chǔ)開源軟件中從未公開披露過漏洞的項(xiàng)目占比較高的原因主要有兩個(gè)，一是有的關(guān)鍵基礎(chǔ)開源軟件，特別是有的開源社區(qū)中的軟件，漏洞雖然已被修復(fù)了，但沒有記錄和公開；二是維護(hù)和安全研究等相關(guān)人員對一些關(guān)鍵基礎(chǔ)開源軟件安全性的關(guān)注度不夠，對它們漏洞挖掘的研究還不多。

? ?開源大模型推理框架仍存在嚴(yán)重風(fēng)險(xiǎn)

? ?今年以來，大模型正在以雷霆萬鈞之勢，加速賦能千行百業(yè)，成為推動新質(zhì)生產(chǎn)力的核心引擎，然而其帶來的服務(wù)器癱瘓、數(shù)據(jù)泄露、模型被惡意篡改等安全問題也日漸突出。奇安信代碼安全實(shí)驗(yàn)室對10款開源大模型推理框架的典型版本進(jìn)行了分析，結(jié)果顯示，10款大模型推理框架均使用了大量開源軟件，并因此引入了已知漏洞，這些漏洞給大模型推理框架的使用者帶來了巨大的軟件供應(yīng)鏈安全風(fēng)險(xiǎn)和隱患。

?

? ?報(bào)告中針對大模型推理框架OpenLLM進(jìn)行了軟件供應(yīng)鏈攻擊的實(shí)例驗(yàn)證，大模型推理框架OpenLLM v0.6.19中使用了開源庫BentoML v1.4.0，該開源庫存在超危歷史漏洞CVE-2025-27520，攻擊者可利用此漏洞對托管OpenLLM的服務(wù)器成功實(shí)施軟件供應(yīng)鏈攻擊，獲得root shell。

图：对OpenLLM框架服务器的软件供应链攻击复现

? ?五家主流汽車廠商存在嚴(yán)重供應(yīng)鏈安全問題

? ?報(bào)告針對智能網(wǎng)聯(lián)汽車這一重點(diǎn)領(lǐng)域進(jìn)行的軟件供應(yīng)鏈安全風(fēng)險(xiǎn)專題分析結(jié)果令人擔(dān)憂。隨著汽車智能化、網(wǎng)聯(lián)化程度的不斷加深，軟件在汽車中的占比持續(xù)攀升，軟件供應(yīng)鏈的安全問題對智能網(wǎng)聯(lián)汽車的影響愈發(fā)關(guān)鍵。

? ?研究團(tuán)隊(duì)對5家主流汽車廠商的關(guān)鍵部件固件展開深入分析，結(jié)果顯示，無一例外，這些廠商均存在嚴(yán)重的軟件供應(yīng)鏈安全風(fēng)險(xiǎn)。由于智能網(wǎng)聯(lián)汽車的復(fù)雜性，第三方組件（包括開源組件）被廣泛應(yīng)用于車輛的各個(gè)系統(tǒng)中，這些第三方組件引入了大量的已知漏洞，成為安全風(fēng)險(xiǎn)的重要來源。

?

? ?報(bào)告中針對某汽車廠商T-Box固件進(jìn)行了軟件供應(yīng)鏈攻擊的實(shí)例驗(yàn)證，該T-Box固件中使用了高通的第三方組件QCMAP，該組件存在超危歷史漏洞CVE-2020-3657，攻擊者可利用此漏洞對T-Box成功實(shí)施軟件供應(yīng)鏈攻擊，獲得T-Box的root shell。這意味著攻擊者可以突破車輛原本的安全防線，對車輛進(jìn)行非法操控，甚至可能直接危及駕乘人員的生命安全以及公共交通安全。

图：对某汽车厂商T-Box的软件供应链攻击复现

? ?總體來看，盡管國內(nèi)軟件供應(yīng)鏈安全態(tài)勢有所改善，但整體形勢依然嚴(yán)峻。不過，國內(nèi)的軟件供應(yīng)鏈安全治理工作也在不斷推進(jìn)，規(guī)范措施持續(xù)強(qiáng)化，行業(yè)引領(lǐng)不斷加強(qiáng)，AI賦能效果逐漸顯現(xiàn)。為進(jìn)一步提升軟件供應(yīng)鏈安全水平，報(bào)告提出了三項(xiàng)建議，分別是加快軟件供應(yīng)鏈安全標(biāo)準(zhǔn)體系的建設(shè)和落地，加大對重點(diǎn)行業(yè)的風(fēng)險(xiǎn)排查和安全監(jiān)管力度，加強(qiáng)組織機(jī)構(gòu)的軟件供應(yīng)鏈安全管理和技術(shù)能力。

? ?該報(bào)告的發(fā)布，不僅為行業(yè)清晰呈現(xiàn)了當(dāng)前軟件供應(yīng)鏈安全的現(xiàn)狀與問題，更為后續(xù)軟件供應(yīng)鏈安全治理工作提供了有益參考，對推動我國軟件產(chǎn)業(yè)安全、健康發(fā)展具有重要意義。??