近日，奇安信代碼安全實驗室發布《2025中國軟件供應鏈安全分析報告》，這已是該系列報告連續發布的第5年。本次報告不僅深入剖析過去一年軟件供應鏈各階段代碼安全問題，更聚焦了開源大模型、智能網聯汽車等新興重點領域。報告顯示，與歷年相比，2024年國內企業自主開發的軟件項目源代碼整體缺陷密度持續升高，達到了13.26個/千行，軟件項目存在老舊開源軟件漏洞的狀況沒有改善，多個項目中依然存在20年前的開源軟件漏洞。報告還發現，主流10款開源大模型推理框架、5家主流廠商的汽車關鍵部件等均存在嚴重的軟件供應鏈安全風險，這些重點領域的風險亟待行業重視。

源代碼整體缺陷密度持續升高

2024年全年，奇安信代碼安全實驗室對2344個國內企業自主開發的軟件項目的源代碼進行了安全缺陷檢測，檢測的代碼總量為518742205行，共發現安全缺陷6882301個，其中高危缺陷289343個，整體缺陷密度為13.26個/千行，高危缺陷密度為0.55個/千行。與以往歷年相比，整體缺陷密度持續升高，但高危缺陷密度與去年基本持平，較之前三年有較大幅降低。這說明開發者對高危缺陷類型的重點防范沒有松懈。

開源軟件作為現代軟件開發的基礎，其生態發展與安全狀況備受關注。報告指出，2024年開源軟件生態持續繁榮，主流開源軟件包生態系統中開源項目總量一年增長23.7%，首次突破1000萬。在開源軟件源代碼安全檢測中，對2262個開源軟件項目檢測發現，共存在安全缺陷4669955個，高危缺陷20590個，整體缺陷密度為16.54個/千行，高危缺陷密度為0.78個/千行，整體缺陷密度與去年基本持平，高危缺陷密度則有明顯下降，處于5年來最低水平。在開源軟件公開報告漏洞方面，2024年，CVE/NVD、CNNVD、CNVD等公開漏洞庫中新增開源軟件相關漏洞10320個。

報告指出，國內企業軟件開發中開源軟件應用廣泛，且使用數量持續增長，平均每個軟件項目使用168個開源軟件。在漏洞風險方面，平均每個軟件項目存在66個已知開源軟件漏洞，較前兩年明顯減少，存在已知開源軟件高危漏洞、超危漏洞、容易利用漏洞的項目占比分別為73.0%、57.4%和57.5%，均比去年有大幅下降，但整體來看風險仍處于高位，并沒有根本上的改變，多個項目中甚至仍然存在20年前的古老開源軟件漏洞。開源軟件許可協議風險同樣不容忽視，21.2%的項目中使用了超危、高危開源許可協議，可能對企業商業利益和聲譽造成損害。此外，開源軟件運維風險突出，近30年前的老舊開源軟件版本仍在使用，版本使用混亂問題依然存在。

近9成關鍵基礎開源軟件從未公開披露過漏洞

關鍵基礎開源軟件主要指被多于1000個其他開源軟件直接依賴的開源軟件，一旦出現漏洞，影響范圍巨大且消除困難。報告對5485款關鍵基礎開源軟件分析發現，有4806款從未公開披露過漏洞，占比達87.6%，該項數據呈現出逐年升高的趨勢，如下圖所示。

分析發現，造成關鍵基礎開源軟件中從未公開披露過漏洞的項目占比較高的原因主要有兩個，一是有的關鍵基礎開源軟件，特別是有的開源社區中的軟件，漏洞雖然已被修復了，但沒有記錄和公開；二是維護和安全研究等相關人員對一些關鍵基礎開源軟件安全性的關注度不夠，對它們漏洞挖掘的研究還不多。

開源大模型推理框架仍存在嚴重風險

今年以來，大模型正在以雷霆萬鈞之勢，加速賦能千行百業，成為推動新質生產力的核心引擎，然而其帶來的服務器癱瘓、數據泄露、模型被惡意篡改等安全問題也日漸突出。奇安信代碼安全實驗室對10款開源大模型推理框架的典型版本進行了分析，結果顯示，10款大模型推理框架均使用了大量開源軟件，并因此引入了已知漏洞，這些漏洞給大模型推理框架的使用者帶來了巨大的軟件供應鏈安全風險和隱患。

報告中針對大模型推理框架OpenLLM進行了軟件供應鏈攻擊的實例驗證，大模型推理框架OpenLLM v0.6.19中使用了開源庫BentoML v1.4.0，該開源庫存在超危歷史漏洞CVE-2025-27520，攻擊者可利用此漏洞對托管OpenLLM的服務器成功實施軟件供應鏈攻擊，獲得root shell。

圖：對OpenLLM框架服務器的軟件供應鏈攻擊復現

五家主流汽車廠商存在嚴重供應鏈安全問題

報告針對智能網聯汽車這一重點領域進行的軟件供應鏈安全風險專題分析結果令人擔憂。隨著汽車智能化、網聯化程度的不斷加深，軟件在汽車中的占比持續攀升，軟件供應鏈的安全問題對智能網聯汽車的影響愈發關鍵。

研究團隊對5家主流汽車廠商的關鍵部件固件展開深入分析，結果顯示，無一例外，這些廠商均存在嚴重的軟件供應鏈安全風險。由于智能網聯汽車的復雜性，第三方組件（包括開源組件）被廣泛應用于車輛的各個系統中，這些第三方組件引入了大量的已知漏洞，成為安全風險的重要來源。

報告中針對某汽車廠商T-Box固件進行了軟件供應鏈攻擊的實例驗證，該T-Box固件中使用了高通的第三方組件QCMAP，該組件存在超危歷史漏洞CVE-2020-3657，攻擊者可利用此漏洞對T-Box成功實施軟件供應鏈攻擊，獲得T-Box的root shell。這意味著攻擊者可以突破車輛原本的安全防線，對車輛進行非法操控，甚至可能直接危及駕乘人員的生命安全以及公共交通安全。

圖：對某汽車廠商T-Box的軟件供應鏈攻擊復現

總體來看，盡管國內軟件供應鏈安全態勢有所改善，但整體形勢依然嚴峻。不過，國內的軟件供應鏈安全治理工作也在不斷推進，規范措施持續強化，行業引領不斷加強，AI賦能效果逐漸顯現。為進一步提升軟件供應鏈安全水平，報告提出了三項建議，分別是加快軟件供應鏈安全標準體系的建設和落地，加大對重點行業的風險排查和安全監管力度，加強組織機構的軟件供應鏈安全管理和技術能力。

該報告的發布，不僅為行業清晰呈現了當前軟件供應鏈安全的現狀與問題，更為后續軟件供應鏈安全治理工作提供了有益參考，對推動我國軟件產業安全、健康發展具有重要意義。