近日,奇安信代码安全实验室正式发布《2025中国软件供应链安全分析报告》,这也是该系列报告连续第五年对外公布。本年度报告不仅回顾了过去一年软件供应链各环节中的代码安全问题,还特别关注了开源大模型、智能网联汽车等新兴领域。数据显示,与往年相比,2024年国内企业自研软件项目的源代码整体缺陷密度持续上升,达到13.26个/千行,同时多个项目仍存在二十年前的老旧开源漏洞,软件供应链风险依然严峻。此外,主流的10款开源大模型推理框架及5家主要汽车厂商的关键部件均暴露出严重的供应链安全隐患,相关领域的安全问题亟需引起重视。
源代码整体缺陷密度继续攀升
在2024年期间,奇安信代码安全实验室对共计2344个国内企业自主研发的软件项目进行了源代码安全检测,累计检测代码量达518,742,205行,共识别出各类安全缺陷6,882,301个,其中高危缺陷为289,343个,整体缺陷密度达到每千行13.26个,高危缺陷密度为每千行0.55个。相较历年数据,整体缺陷密度呈持续上升趋势,而高危缺陷密度则与去年基本持平,并较此前三年显著下降,显示出开发人员对高危缺陷的防范意识仍在加强。
开源软件作为现代软件开发的重要基础,其生态发展和安全性受到广泛关注。报告显示,2024年开源软件生态继续保持增长态势,主流开源包生态系统中开源项目总数同比增长23.7%,首次突破千万级别。通过对2262个开源项目进行安全检测,发现总缺陷数为4,669,955个,其中高危缺陷20,590个,整体缺陷密度为每千行16.54个,高危缺陷密度为每千行0.78个。整体缺陷密度与去年基本一致,但高危缺陷密度明显下降,为近五年来最低水平。同时,2024年CVE/NVD、CNNVD、CNVD等公开漏洞数据库新增开源相关漏洞数量达10,320个。
报告指出,国内企业在软件开发过程中广泛使用开源组件,且使用数量持续增加,平均每款软件项目依赖168个开源组件。从漏洞风险来看,每个项目平均存在66个已知开源漏洞,较前两年有所减少,但仍有73.0%、57.4%和57.5%的项目分别存在高危、超危及易利用漏洞,尽管比例较去年下降,但整体风险仍处于较高水平。值得注意的是,一些项目中甚至仍在使用含有二十年前遗留漏洞的开源组件。此外,开源许可协议带来的法律风险也不容忽视,有21.2%的项目使用了高危或超危级别的开源许可协议,可能对企业商业利益和品牌声誉造成负面影响。开源组件版本混乱、维护不善等问题仍然普遍存在,部分项目甚至仍在使用三十年前的旧版本。
近九成核心开源软件从未披露过漏洞
所谓关键基础开源软件,指的是被超过1000个其他开源项目直接依赖的软件,一旦出现漏洞,影响范围极广且修复难度极大。通过对5485款此类软件的分析发现,其中有4806款从未公开披露过任何漏洞,占比高达87.6%,这一比例呈现出逐年上升的趋势,如下图所示。
研究认为,导致这一现象的主要原因有两个方面:一是某些关键基础开源软件,尤其是来自特定开源社区的项目,虽然漏洞已被修复,但未进行记录或公开;二是相关维护人员及安全研究人员对该类软件的关注度不足,缺乏深入的漏洞挖掘工作。
开源大模型推理框架存在严重漏洞隐患
随着人工智能技术的快速发展,大模型正加速渗透各行各业,成为推动新型生产力的核心动力。然而,由此引发的安全问题也日益凸显,包括服务器瘫痪、数据泄露以及模型篡改等风险不断加剧。奇安信代码安全实验室对10款主流开源大模型推理框架进行了分析,结果显示,这些框架普遍集成了大量开源组件,从而引入了众多已知漏洞,给整个大模型应用环境带来了极大的供应链安全隐患。
以OpenLLM为例,其v0.6.19版本中集成的BentoML v1.4.0库存在一个超危历史漏洞CVE-2025-27520,攻击者可借此对部署OpenLLM的服务器发起供应链攻击并成功获取root权限,验证了当前大模型推理框架所面临的真实威胁。
图:对OpenLLM框架服务器实施软件供应链攻击的复现过程
主流汽车厂商关键部件暴露重大安全风险
针对智能网联汽车领域的专项研究同样揭示出令人担忧的安全状况。随着车辆智能化和联网化程度不断提升,软件在整车系统中所占比例迅速增长,软件供应链的安全问题也因此变得愈发关键。
研究团队对五家主流汽车厂商的关键部件固件进行了深入分析,结果表明,所有厂商均存在严重的供应链安全问题。由于智能网联汽车结构复杂,大量第三方组件(包括开源组件)被广泛应用于各个系统模块,从而引入大量已知漏洞,成为潜在的安全隐患来源。
以某汽车厂商T-Box固件为例,其内部使用的高通第三方组件QCMAP存在一个超危历史漏洞CVE-2020-3657,攻击者可通过此漏洞成功发起供应链攻击并获取T-Box的root权限,进而实现对车辆的非法控制,严重威胁驾乘人员生命安全及公共交通安全。
图:对某汽车厂商T-Box实施软件供应链攻击的复现实例
总体来看,尽管我国软件供应链安全状况有所改善,但仍面临诸多挑战。值得肯定的是,近年来国家在软件供应链安全管理方面持续推进制度建设,强化监管措施,提升行业治理能力,AI技术的应用也为安全防护带来新机遇。为进一步提升整体安全水平,报告提出三项建议:加快软件供应链安全标准体系的制定与落地;加强对重点行业的漏洞排查和安全监管;提升组织层面的软件供应链安全管理和技术防御能力。
该报告的发布,不仅全面揭示了当前软件供应链安全的现状与突出问题,更为后续行业治理提供了有力参考,对于推动我国软件产业健康、安全发展具有重要意义。
