【奇安信】2025中国软件供应链安全分析报告

近日，奇安信代码安全实验室发布了《2025中国软件供应链安全分析报告》，该报告深入分析了国内企业自主开发软件的源代码安全状况、开源软件生态发展与安全状况、国内企业软件开发中开源软件应用状况等多个维度，揭示了软件供应链安全领域的最新趋势和潜在风险。报告指出，尽管国内软件供应链安全态势总体向好，但仍面临严峻挑战，特别是在智能网联汽车和大语言模型等热点领域，软件供应链安全问题不容忽视。报告中包含了丰富的数据、分析和建议，为相关企业和机构提供了宝贵的参考和指导。

在数字化浪潮中，软件供应链安全已成为全球关注的焦点。2024年国内企业自主开发的软件源代码高危缺陷密度虽处于历史低位，但整体缺陷密度却持续升高，显示出软件供应链安全形势依然严峻。《2025中国软件供应链安全分析报告》深入剖析了我国软件供应链的安全状况，为行业提供了宝贵的参考。

报告指出，2024年国内企业软件项目平均每个项目使用了168个开源软件，显示出开源软件在软件开发中的普及程度。然而，每个项目平均存在66个已知开源软件漏洞，这一数字虽较前两年有所减少，但整体风险仍处于高位。更令人担忧的是，国内企业软件项目中存在老旧开源软件漏洞的情况并未改善，多个项目中依然存在20年前的开源软件漏洞，这无疑给软件供应链安全带来了巨大隐患。

开源软件的安全状况同样不容乐观。2024年，CVE/NVD、CNNVD、CNVD等公开漏洞库中新增开源软件相关漏洞10320个，这一数字的增长令人震惊。同时，主流开源软件包生态系统中不活跃的开源软件项目数量占比高达74.5%，这些不活跃的项目一旦出现安全漏洞，难以得到及时修复，给软件供应链安全带来了严重威胁。

在智能网联汽车和大语言模型两个热点领域，软件供应链安全风险同样严重。智能网联汽车关键部件的固件中，第三方组件及引入的漏洞情况普遍存在，其中不乏超危和高危漏洞。而在大语言模型推理框架中，也存在大量已知漏洞，这些漏洞的存在给智能网联汽车和大语言模型的应用安全带来了严重挑战。

软件供应链的安全问题，不仅仅是技术问题，更是管理问题。国内软件供应链安全治理工作正在持续推进，但标准体系尚需完善，一些行业和领域对供应链风险的认识和排查不足，AI赋能分析工具的使用率较低。因此，需要从国家、行业和组织机构等多个层面加强软件供应链安全的管理和技术能力。

报告建议加快软件供应链安全标准体系的建设和落地进程，明确体系框架，推进制定修订，并促进落地生效。同时，建议加大对重点行业软件供应链的风险排查和安全监管力度，督促建设本行业的软件供应链安全检测服务平台。此外，组织机构应加强软件供应链安全管理和技术能力，建立完善的软件供应链安全管理制度并严格执行，提升软件供应链安全防护技术能力。

软件供应链安全是数字化转型的重要保障，需要全社会共同关注和努力。《2025中国软件供应链安全分析报告》为我们提供了深入的分析和宝贵的建议，让我们对软件供应链安全有了更清晰的认识。文章的灵感来自于这份报告，它只是对报告内容做了总体的介绍。除了这份报告，还有一些同类型的报告也非常有价值，推荐阅读，这些报告我们都收录在同名星球，可以自行获取。

以上为节选样张，关注公众号【蝉鸣报告】回复领取PDF完整电子版（无广告）。

【蝉鸣报告】每日更新最新硬核报告，覆盖产业报告、全球化、经济报告、趋势等全领域。