近日，奇安信代碼安全實(shí)驗(yàn)室發(fā)布《2025中國軟件供應(yīng)鏈安全分析報(bào)告》，這已是該系列報(bào)告連續(xù)發(fā)布的第5年。本次報(bào)告不僅深入剖析過去一年軟件供應(yīng)鏈各階段代碼安全問題，更聚焦了開源大模型、智能網(wǎng)聯(lián)汽車等新興重點(diǎn)領(lǐng)域。報(bào)告顯示，與歷年相比，2024年國內(nèi)企業(yè)自主開發(fā)的軟件項(xiàng)目源代碼整體缺陷密度持續(xù)升高，達(dá)到了13.26個(gè)/千行，軟件項(xiàng)目存在老舊開源軟件漏洞的狀況沒有改善，多個(gè)項(xiàng)目中依然存在20年前的開源軟件漏洞。報(bào)告還發(fā)現(xiàn)，主流10款開源大模型推理框架、5家主流廠商的汽車關(guān)鍵部件等均存在嚴(yán)重的軟件供應(yīng)鏈安全風(fēng)險(xiǎn)，這些重點(diǎn)領(lǐng)域的風(fēng)險(xiǎn)亟待行業(yè)重視。

   源代碼整體缺陷密度持續(xù)升高 

   2024年全年，奇安信代碼安全實(shí)驗(yàn)室對(duì)2344個(gè)國內(nèi)企業(yè)自主開發(fā)的軟件項(xiàng)目的源代碼進(jìn)行了安全缺陷檢測(cè)，檢測(cè)的代碼總量為518742205行，共發(fā)現(xiàn)安全缺陷6882301個(gè)，其中高危缺陷289343個(gè)，整體缺陷密度為13.26個(gè)/千行，高危缺陷密度為0.55個(gè)/千行。與以往歷年相比，整體缺陷密度持續(xù)升高，但高危缺陷密度與去年基本持平，較之前三年有較大幅降低。這說明開發(fā)者對(duì)高危缺陷類型的重點(diǎn)防范沒有松懈。

 

   開源軟件作為現(xiàn)代軟件開發(fā)的基礎(chǔ)，其生態(tài)發(fā)展與安全狀況備受關(guān)注。報(bào)告指出，2024年開源軟件生態(tài)持續(xù)繁榮，主流開源軟件包生態(tài)系統(tǒng)中開源項(xiàng)目總量一年增長23.7%，首次突破1000萬。在開源軟件源代碼安全檢測(cè)中，對(duì)2262個(gè)開源軟件項(xiàng)目檢測(cè)發(fā)現(xiàn)，共存在安全缺陷4669955個(gè)，高危缺陷20590個(gè)，整體缺陷密度為16.54個(gè)/千行，高危缺陷密度為0.78個(gè)/千行，整體缺陷密度與去年基本持平，高危缺陷密度則有明顯下降，處于5年來最低水平。在開源軟件公開報(bào)告漏洞方面，2024年，CVE/NVD、CNNVD、CNVD等公開漏洞庫中新增開源軟件相關(guān)漏洞10320個(gè)。

 

   報(bào)告指出，國內(nèi)企業(yè)軟件開發(fā)中開源軟件應(yīng)用廣泛，且使用數(shù)量持續(xù)增長，平均每個(gè)軟件項(xiàng)目使用168個(gè)開源軟件。在漏洞風(fēng)險(xiǎn)方面，平均每個(gè)軟件項(xiàng)目存在66個(gè)已知開源軟件漏洞，較前兩年明顯減少，存在已知開源軟件高危漏洞、超危漏洞、容易利用漏洞的項(xiàng)目占比分別為73.0%、57.4%和57.5%，均比去年有大幅下降，但整體來看風(fēng)險(xiǎn)仍處于高位，并沒有根本上的改變，多個(gè)項(xiàng)目中甚至仍然存在20年前的古老開源軟件漏洞。開源軟件許可協(xié)議風(fēng)險(xiǎn)同樣不容忽視，21.2%的項(xiàng)目中使用了超危、高危開源許可協(xié)議，可能對(duì)企業(yè)商業(yè)利益和聲譽(yù)造成損害。此外，開源軟件運(yùn)維風(fēng)險(xiǎn)突出，近30年前的老舊開源軟件版本仍在使用，版本使用混亂問題依然存在。

   近9成關(guān)鍵基礎(chǔ)開源軟件從未公開披露過漏洞

   關(guān)鍵基礎(chǔ)開源軟件主要指被多于1000個(gè)其他開源軟件直接依賴的開源軟件，一旦出現(xiàn)漏洞，影響范圍巨大且消除困難。報(bào)告對(duì)5485款關(guān)鍵基礎(chǔ)開源軟件分析發(fā)現(xiàn)，有4806款從未公開披露過漏洞，占比達(dá)87.6%，該項(xiàng)數(shù)據(jù)呈現(xiàn)出逐年升高的趨勢(shì)，如下圖所示。 

 

   分析發(fā)現(xiàn)，造成關(guān)鍵基礎(chǔ)開源軟件中從未公開披露過漏洞的項(xiàng)目占比較高的原因主要有兩個(gè)，一是有的關(guān)鍵基礎(chǔ)開源軟件，特別是有的開源社區(qū)中的軟件，漏洞雖然已被修復(fù)了，但沒有記錄和公開；二是維護(hù)和安全研究等相關(guān)人員對(duì)一些關(guān)鍵基礎(chǔ)開源軟件安全性的關(guān)注度不夠，對(duì)它們漏洞挖掘的研究還不多。

   開源大模型推理框架仍存在嚴(yán)重風(fēng)險(xiǎn)

   今年以來，大模型正在以雷霆萬鈞之勢(shì)，加速賦能千行百業(yè)，成為推動(dòng)新質(zhì)生產(chǎn)力的核心引擎，然而其帶來的服務(wù)器癱瘓、數(shù)據(jù)泄露、模型被惡意篡改等安全問題也日漸突出。奇安信代碼安全實(shí)驗(yàn)室對(duì)10款開源大模型推理框架的典型版本進(jìn)行了分析，結(jié)果顯示，10款大模型推理框架均使用了大量開源軟件，并因此引入了已知漏洞，這些漏洞給大模型推理框架的使用者帶來了巨大的軟件供應(yīng)鏈安全風(fēng)險(xiǎn)和隱患。

 

   報(bào)告中針對(duì)大模型推理框架OpenLLM進(jìn)行了軟件供應(yīng)鏈攻擊的實(shí)例驗(yàn)證，大模型推理框架OpenLLM v0.6.19中使用了開源庫BentoML v1.4.0，該開源庫存在超危歷史漏洞CVE-2025-27520，攻擊者可利用此漏洞對(duì)托管OpenLLM的服務(wù)器成功實(shí)施軟件供應(yīng)鏈攻擊，獲得root shell。

圖：對(duì)OpenLLM框架服務(wù)器的軟件供應(yīng)鏈攻擊復(fù)現(xiàn)

   五家主流汽車廠商存在嚴(yán)重供應(yīng)鏈安全問題

   報(bào)告針對(duì)智能網(wǎng)聯(lián)汽車這一重點(diǎn)領(lǐng)域進(jìn)行的軟件供應(yīng)鏈安全風(fēng)險(xiǎn)專題分析結(jié)果令人擔(dān)憂。隨著汽車智能化、網(wǎng)聯(lián)化程度的不斷加深，軟件在汽車中的占比持續(xù)攀升，軟件供應(yīng)鏈的安全問題對(duì)智能網(wǎng)聯(lián)汽車的影響愈發(fā)關(guān)鍵。

   研究團(tuán)隊(duì)對(duì)5家主流汽車廠商的關(guān)鍵部件固件展開深入分析，結(jié)果顯示，無一例外，這些廠商均存在嚴(yán)重的軟件供應(yīng)鏈安全風(fēng)險(xiǎn)。由于智能網(wǎng)聯(lián)汽車的復(fù)雜性，第三方組件（包括開源組件）被廣泛應(yīng)用于車輛的各個(gè)系統(tǒng)中，這些第三方組件引入了大量的已知漏洞，成為安全風(fēng)險(xiǎn)的重要來源。

 

   報(bào)告中針對(duì)某汽車廠商T-Box固件進(jìn)行了軟件供應(yīng)鏈攻擊的實(shí)例驗(yàn)證，該T-Box固件中使用了高通的第三方組件QCMAP，該組件存在超危歷史漏洞CVE-2020-3657，攻擊者可利用此漏洞對(duì)T-Box成功實(shí)施軟件供應(yīng)鏈攻擊，獲得T-Box的root shell。這意味著攻擊者可以突破車輛原本的安全防線，對(duì)車輛進(jìn)行非法操控，甚至可能直接危及駕乘人員的生命安全以及公共交通安全。

圖：對(duì)某汽車廠商T-Box的軟件供應(yīng)鏈攻擊復(fù)現(xiàn)

   總體來看，盡管國內(nèi)軟件供應(yīng)鏈安全態(tài)勢(shì)有所改善，但整體形勢(shì)依然嚴(yán)峻。不過，國內(nèi)的軟件供應(yīng)鏈安全治理工作也在不斷推進(jìn)，規(guī)范措施持續(xù)強(qiáng)化，行業(yè)引領(lǐng)不斷加強(qiáng)，AI賦能效果逐漸顯現(xiàn)。為進(jìn)一步提升軟件供應(yīng)鏈安全水平，報(bào)告提出了三項(xiàng)建議，分別是加快軟件供應(yīng)鏈安全標(biāo)準(zhǔn)體系的建設(shè)和落地，加大對(duì)重點(diǎn)行業(yè)的風(fēng)險(xiǎn)排查和安全監(jiān)管力度，加強(qiáng)組織機(jī)構(gòu)的軟件供應(yīng)鏈安全管理和技術(shù)能力。

   該報(bào)告的發(fā)布，不僅為行業(yè)清晰呈現(xiàn)了當(dāng)前軟件供應(yīng)鏈安全的現(xiàn)狀與問題，更為后續(xù)軟件供應(yīng)鏈安全治理工作提供了有益參考，對(duì)推動(dòng)我國軟件產(chǎn)業(yè)安全、健康發(fā)展具有重要意義。  

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。