2025年中国软件供应链安全分析报告.docxVIP

2025

2025中国软

I

摘要

l2024年国内企业自主开发软件的源代码高危缺陷密度为0.55个/千行，处于历年来较低水平。但整体缺陷密度为13.26个/千行，持续升高。

l2024年，CVE/NVD、CNNVD、CNVD等公开漏洞库中新增开源软件相关漏洞10320个。

l2024年，主流开源软件包生态系统中不活跃的开源软件项目数量为7453176个，占比高达74.5%，呈现出增高的趋势。

l2024年，国内企业软件项目中，平均每个项目使用了168个开源软件，几年来呈现出持续增长的态势。

l2024年，国内企业平均每个软件项目存在66个已知开源软件漏洞，较前两年明显减少；存在已知开源软件高危漏洞、超危漏洞、容易利用漏洞的项目占比分别为73.0%、57.4%和57.5%，均比去年有大幅下降。但整体风险仍处于高位，没有根本上的改变。

l2024年，国内企业软件项目中存在老旧开源软件漏洞的状况没有改善，多个项目中依然存在20年前的开源软件漏洞。

l通过对智能网联汽车和大语言模型（LLM）两个热点领域的固件和软件进行专题分析发现，这些领域均存在严重的软件供应链安全风险，不容忽视。

II

目录

一、概述 1

二、国内企业自主开发源代码安全状况 1

1、编程语言分布情况 2

2、典型安全缺陷检出情况 3

三、开源软件生态发展与安全状况 4

1、开源软件生态发展状况分析 4

2、开源软件源代码安全状况分析 6

（1）编程语言分布情况 6

（2）典型安全缺陷检出情况 7

3、开源软件公开报告漏洞状况分析 8

（1）大型开源项目漏洞总数及年度增长TOP20 8

（2）主流开源软件包生态系统漏洞总数及年度增长TOP20 11

4、开源软件活跃度状况分析 14

（1）近3/4的开源项目处于不活跃状态 14

（2）版本频繁更新的项目较去年增长超1/3 15

5、关键基础开源软件分析 15

III

（1）主流开源生态中关键基础开源软件数量为5485 16

（2）近9成关键基础开源软件从未公开披露过漏洞 18

（3）关键基础开源软件存在较大的运维风险 19

四、国内企业软件开发中开源软件应用状况 20

1、开源软件总体使用情况分析 20

（1）平均每个软件项目使用168个开源软件，持续增长 20

（2）最流行的开源软件被38.6%的软件项目使用 21

2、开源软件漏洞风险分析 22

（1）各类已知开源软件漏洞的检出率明显下降 22

（2）项目的平均已知开源软件漏洞数明显减少 23

（3）影响最广的容易利用漏洞存在于1/4的项目中 24

（4）多个软件项目中依然存在20年前的开源软件漏洞 25

3、开源软件许可协议风险分析 26

（1）最流行的开源许可协议在45.9%的项目中使用 26

（2）超、高危开源许可协议在21.2%的项目中使用 27

4、开源软件运维风险分析 29

（1）近30年前的老旧开源软件版本仍在使用 29

（2）开源软件版本的使用依然混乱 30

五、重点领域软件供应链安全风险专题分析 31

IV

1、智能网联汽车关键部件软件供应链安全风险分析 31

（1）第三方组件及引入的漏洞情况 31

（2）常用第三方组件及其漏洞风险 32

（3）攻击实例验证分析 33

2、开源大模型推理框架软件供应链安全风险分析 34

（1）开源软件及引入的漏洞情况 35

（2）常用开源软件及其漏洞风险 36

（3）攻击实例验证分析 37

六、总结及建议 39

附录：奇安信代码安全实验室简介 42

1

一、概述

众所周知，目前软件供应链已成为网络安全攻击的重要渠道之一。基于对软件供应链安全领域的持续关注和相应技术能力的不断积累，奇安信代码安全实验室继续推出《2025中国软件供应链安全分析报告》。至此，该系列报告已连续发布5年。

软件由自主开发的代码与开源代码等第三方代码集成后，形成混源代码，然后通过编译、连接等构建过程形成软件产品，交付给用户使用。在这一软件供应流程中，每个阶段的代码或工件都可能引入安全问题，从而导致最终软件供应链安全事件的爆发。

基于此流程模型，本报告分析了过去一年中各阶段的代码安全问题对软件供应链安全性的潜在威胁，并总结了5年来的趋势和变化，相关阶段的