近日，奇安信代碼安全實(shí)驗(yàn)室發(fā)布《2025中國(guó)軟件供應(yīng)鏈安全分析報(bào)告》，這已是該系列報(bào)告連續(xù)發(fā)布的第5年。本次報(bào)告不僅深入剖析過(guò)去一年軟件供應(yīng)鏈各階段代碼安全問(wèn)題，更聚焦了開(kāi)源大模型、智能網(wǎng)聯(lián)汽車(chē)等新興重點(diǎn)領(lǐng)域。報(bào)告顯示，與歷年相比，2024年國(guó)內(nèi)企業(yè)自主開(kāi)發(fā)的軟件項(xiàng)目源代碼整體缺陷密度持續(xù)升高，達(dá)到了13.26個(gè)/千行，軟件項(xiàng)目存在老舊開(kāi)源軟件漏洞的狀況沒(méi)有改善，多個(gè)項(xiàng)目中依然存在20年前的開(kāi)源軟件漏洞。報(bào)告還發(fā)現(xiàn)，主流10款開(kāi)源大模型推理框架、5家主流廠商的汽車(chē)關(guān)鍵部件等均存在嚴(yán)重的軟件供應(yīng)鏈安全風(fēng)險(xiǎn)，這些重點(diǎn)領(lǐng)域的風(fēng)險(xiǎn)亟待行業(yè)重視。

源代碼整體缺陷密度持續(xù)升高

2024年全年，奇安信代碼安全實(shí)驗(yàn)室對(duì)2344個(gè)國(guó)內(nèi)企業(yè)自主開(kāi)發(fā)的軟件項(xiàng)目的源代碼進(jìn)行了安全缺陷檢測(cè)，檢測(cè)的代碼總量為518742205行，共發(fā)現(xiàn)安全缺陷6882301個(gè)，其中高危缺陷289343個(gè)，整體缺陷密度為13.26個(gè)/千行，高危缺陷密度為0.55個(gè)/千行。與以往歷年相比，整體缺陷密度持續(xù)升高，但高危缺陷密度與去年基本持平，較之前三年有較大幅降低。這說(shuō)明開(kāi)發(fā)者對(duì)高危缺陷類(lèi)型的重點(diǎn)防范沒(méi)有松懈。

開(kāi)源軟件作為現(xiàn)代軟件開(kāi)發(fā)的基礎(chǔ)，其生態(tài)發(fā)展與安全狀況備受關(guān)注。報(bào)告指出，2024年開(kāi)源軟件生態(tài)持續(xù)繁榮，主流開(kāi)源軟件包生態(tài)系統(tǒng)中開(kāi)源項(xiàng)目總量一年增長(zhǎng)23.7%，首次突破1000萬(wàn)。在開(kāi)源軟件源代碼安全檢測(cè)中，對(duì)2262個(gè)開(kāi)源軟件項(xiàng)目檢測(cè)發(fā)現(xiàn)，共存在安全缺陷4669955個(gè)，高危缺陷20590個(gè)，整體缺陷密度為16.54個(gè)/千行，高危缺陷密度為0.78個(gè)/千行，整體缺陷密度與去年基本持平，高危缺陷密度則有明顯下降，處于5年來(lái)最低水平。在開(kāi)源軟件公開(kāi)報(bào)告漏洞方面，2024年，CVE/NVD、CNNVD、CNVD等公開(kāi)漏洞庫(kù)中新增開(kāi)源軟件相關(guān)漏洞10320個(gè)。

報(bào)告指出，國(guó)內(nèi)企業(yè)軟件開(kāi)發(fā)中開(kāi)源軟件應(yīng)用廣泛，且使用數(shù)量持續(xù)增長(zhǎng)，平均每個(gè)軟件項(xiàng)目使用168個(gè)開(kāi)源軟件。在漏洞風(fēng)險(xiǎn)方面，平均每個(gè)軟件項(xiàng)目存在66個(gè)已知開(kāi)源軟件漏洞，較前兩年明顯減少，存在已知開(kāi)源軟件高危漏洞、超危漏洞、容易利用漏洞的項(xiàng)目占比分別為73.0%、57.4%和57.5%，均比去年有大幅下降，但整體來(lái)看風(fēng)險(xiǎn)仍處于高位，并沒(méi)有根本上的改變，多個(gè)項(xiàng)目中甚至仍然存在20年前的古老開(kāi)源軟件漏洞。開(kāi)源軟件許可協(xié)議風(fēng)險(xiǎn)同樣不容忽視，21.2%的項(xiàng)目中使用了超危、高危開(kāi)源許可協(xié)議，可能對(duì)企業(yè)商業(yè)利益和聲譽(yù)造成損害。此外，開(kāi)源軟件運(yùn)維風(fēng)險(xiǎn)突出，近30年前的老舊開(kāi)源軟件版本仍在使用，版本使用混亂問(wèn)題依然存在。

近9成關(guān)鍵基礎(chǔ)開(kāi)源軟件從未公開(kāi)披露過(guò)漏洞

關(guān)鍵基礎(chǔ)開(kāi)源軟件主要指被多于1000個(gè)其他開(kāi)源軟件直接依賴(lài)的開(kāi)源軟件，一旦出現(xiàn)漏洞，影響范圍巨大且消除困難。報(bào)告對(duì)5485款關(guān)鍵基礎(chǔ)開(kāi)源軟件分析發(fā)現(xiàn)，有4806款從未公開(kāi)披露過(guò)漏洞，占比達(dá)87.6%，該項(xiàng)數(shù)據(jù)呈現(xiàn)出逐年升高的趨勢(shì)，如下圖所示。

分析發(fā)現(xiàn)，造成關(guān)鍵基礎(chǔ)開(kāi)源軟件中從未公開(kāi)披露過(guò)漏洞的項(xiàng)目占比較高的原因主要有兩個(gè)，一是有的關(guān)鍵基礎(chǔ)開(kāi)源軟件，特別是有的開(kāi)源社區(qū)中的軟件，漏洞雖然已被修復(fù)了，但沒(méi)有記錄和公開(kāi);二是維護(hù)和安全研究等相關(guān)人員對(duì)一些關(guān)鍵基礎(chǔ)開(kāi)源軟件安全性的關(guān)注度不夠，對(duì)它們漏洞挖掘的研究還不多。

開(kāi)源大模型推理框架仍存在嚴(yán)重風(fēng)險(xiǎn)

今年以來(lái)，大模型正在以雷霆萬(wàn)鈞之勢(shì)，加速賦能千行百業(yè)，成為推動(dòng)新質(zhì)生產(chǎn)力的核心引擎，然而其帶來(lái)的服務(wù)器癱瘓、數(shù)據(jù)泄露、模型被惡意篡改等安全問(wèn)題也日漸突出。奇安信代碼安全實(shí)驗(yàn)室對(duì)10款開(kāi)源大模型推理框架的典型版本進(jìn)行了分析，結(jié)果顯示，10款大模型推理框架均使用了大量開(kāi)源軟件，并因此引入了已知漏洞，這些漏洞給大模型推理框架的使用者帶來(lái)了巨大的軟件供應(yīng)鏈安全風(fēng)險(xiǎn)和隱患。

報(bào)告中針對(duì)大模型推理框架OpenLLM進(jìn)行了軟件供應(yīng)鏈攻擊的實(shí)例驗(yàn)證，大模型推理框架OpenLLM v0.6.19中使用了開(kāi)源庫(kù)BentoML v1.4.0，該開(kāi)源庫(kù)存在超危歷史漏洞CVE-2025-27520，攻擊者可利用此漏洞對(duì)托管OpenLLM的服務(wù)器成功實(shí)施軟件供應(yīng)鏈攻擊，獲得root shell。

圖：對(duì)OpenLLM框架服務(wù)器的軟件供應(yīng)鏈攻擊復(fù)現(xiàn)

五家主流汽車(chē)廠商存在嚴(yán)重供應(yīng)鏈安全問(wèn)題

報(bào)告針對(duì)智能網(wǎng)聯(lián)汽車(chē)這一重點(diǎn)領(lǐng)域進(jìn)行的軟件供應(yīng)鏈安全風(fēng)險(xiǎn)專(zhuān)題分析結(jié)果令人擔(dān)憂(yōu)。隨著汽車(chē)智能化、網(wǎng)聯(lián)化程度的不斷加深，軟件在汽車(chē)中的占比持續(xù)攀升，軟件供應(yīng)鏈的安全問(wèn)題對(duì)智能網(wǎng)聯(lián)汽車(chē)的影響愈發(fā)關(guān)鍵。

研究團(tuán)隊(duì)對(duì)5家主流汽車(chē)廠商的關(guān)鍵部件固件展開(kāi)深入分析，結(jié)果顯示，無(wú)一例外，這些廠商均存在嚴(yán)重的軟件供應(yīng)鏈安全風(fēng)險(xiǎn)。由于智能網(wǎng)聯(lián)汽車(chē)的復(fù)雜性，第三方組件(包括開(kāi)源組件)被廣泛應(yīng)用于車(chē)輛的各個(gè)系統(tǒng)中，這些第三方組件引入了大量的已知漏洞，成為安全風(fēng)險(xiǎn)的重要來(lái)源。

報(bào)告中針對(duì)某汽車(chē)廠商T-Box固件進(jìn)行了軟件供應(yīng)鏈攻擊的實(shí)例驗(yàn)證，該T-Box固件中使用了高通的第三方組件QCMAP，該組件存在超危歷史漏洞CVE-2020-3657，攻擊者可利用此漏洞對(duì)T-Box成功實(shí)施軟件供應(yīng)鏈攻擊，獲得T-Box的root shell。這意味著攻擊者可以突破車(chē)輛原本的安全防線，對(duì)車(chē)輛進(jìn)行非法操控，甚至可能直接危及駕乘人員的生命安全以及公共交通安全。

圖：對(duì)某汽車(chē)廠商T-Box的軟件供應(yīng)鏈攻擊復(fù)現(xiàn)

結(jié)語(yǔ)

總體來(lái)看，盡管?chē)?guó)內(nèi)軟件供應(yīng)鏈安全態(tài)勢(shì)有所改善，但整體形勢(shì)依然嚴(yán)峻。不過(guò)，國(guó)內(nèi)的軟件供應(yīng)鏈安全治理工作也在不斷推進(jìn)，規(guī)范措施持續(xù)強(qiáng)化，行業(yè)引領(lǐng)不斷加強(qiáng)，AI賦能效果逐漸顯現(xiàn)。為進(jìn)一步提升軟件供應(yīng)鏈安全水平，報(bào)告提出了三項(xiàng)建議，分別是加快軟件供應(yīng)鏈安全標(biāo)準(zhǔn)體系的建設(shè)和落地，加大對(duì)重點(diǎn)行業(yè)的風(fēng)險(xiǎn)排查和安全監(jiān)管力度，加強(qiáng)組織機(jī)構(gòu)的軟件供應(yīng)鏈安全管理和技術(shù)能力。

該報(bào)告的發(fā)布，不僅為行業(yè)清晰呈現(xiàn)了當(dāng)前軟件供應(yīng)鏈安全的現(xiàn)狀與問(wèn)題，更為后續(xù)軟件供應(yīng)鏈安全治理工作提供了有益參考，對(duì)推動(dòng)我國(guó)軟件產(chǎn)業(yè)安全、健康發(fā)展具有重要意義。