【奇安信】2025中国软件供应链安全分析报告

近日，奇安信代码安全实验室发布了《2025中国软件供应链安全分析报告》，该报告深入分析了中国软件供应链安全的现状和趋势，涵盖了国内企业自主开发源代码安全状况、开源软件生态发展与安全状况等多个维度，并特别针对智能网联汽车和大语言模型两个领域的软件供应链安全风险进行了专题分析。报告指出，尽管国内软件供应链安全态势总体向好，但仍面临严峻挑战，特别是在新兴技术领域。这份报告为理解中国软件供应链安全提供了宝贵的数据和深刻的洞见，对于相关企业和安全专家来说，其中丰富的分析和建议具有很高的参考价值。

2024年，国内企业自主开发的软件在安全性方面取得了一些进展，但整体形势依然不容乐观。源代码高危缺陷密度虽处于历年较低水平，但整体缺陷密度仍在持续升高，显示出软件安全问题依旧严峻。开源软件作为现代软件开发的重要组成部分，其安全状况同样引人关注。2024年，公开漏洞库中新增了10320个开源软件相关漏洞，而主流开源软件包生态系统中不活跃的项目数量高达74.5%，这意味着一旦这些项目出现安全漏洞，修复和更新将面临困难。

国内企业在软件项目中平均使用开源软件的数量持续增长，每个项目平均使用了168个开源软件。尽管已知开源软件漏洞的数量有所减少，但平均每个项目仍存在66个已知漏洞，其中73.0%的项目存在已知高危漏洞，显示出企业在开源软件使用上的安全风险管理仍需加强。

智能网联汽车和大语言模型（LLM）领域的软件供应链安全风险尤为突出。在对智能网联汽车关键部件的固件分析中发现，这些部件普遍存在严重的软件供应链安全风险。例如，厂商一的T-Box固件因使用Linux Kernel v4.9.37而引入了最多的已知漏洞，而厂商二的T-Box固件中已知超危漏洞最多，高达180个。这些漏洞的存在，一旦被利用，可能导致严重后果，如远程代码执行，对车辆安全构成威胁。

开源大模型推理框架的分析也揭示了类似的风险。10款典型版本的框架中，ollama v0.5.0框架的已知漏洞、已知超危漏洞和已知高危漏洞均为最多，分别为203、11和124。这些漏洞的存在，不仅威胁到了框架本身的安全，也可能影响到使用这些框架的企业、机构及个人业务。

软件供应链的安全问题已经成为网络安全攻击的重要渠道之一。从报告中可以看出，尽管国内企业在自主开发软件的安全状况上有所改善，但整体风险仍然较高。开源软件的安全问题同样不容忽视，特别是那些不活跃的项目，一旦出现安全漏洞，难以得到及时修复。此外，智能网联汽车和大语言模型领域的软件供应链安全风险尤为突出，需要行业更多的关注和重视。

针对这些问题，报告提出了一系列建议。首先，需要加快软件供应链安全标准体系的建设和落地进程，明确体系框架，推进制定修订，并促进落地生效。其次，加大对重点行业软件供应链的风险排查和安全监管力度，要求相关机构和企业建立并持续完善软件资产台账和供应链管理机制。最后，加强组织机构的软件供应链安全管理和技术能力，建立完善的软件供应链安全管理制度并严格执行，提升自身的软件供应链安全防护技术能力。

通过这些措施，可以有效地提高国内软件供应链的安全性，减少由于软件供应链安全问题带来的风险。这对于保护国家网络安全、促进数字经济的健康发展具有重要意义。这篇文章的灵感来自于《2025中国软件供应链安全分析报告》，除了这份报告，还有一些同类型的报告也非常有价值，推荐阅读，这些报告我们都收录在同名星球，可以自行获取。

以上为节选样张，关注公众号【蝉鸣报告】回复领取PDF完整电子版（无广告）。

【蝉鸣报告】每日更新最新硬核报告，覆盖产业报告、全球化、经济报告、趋势等全领域。