2025中国软件供应链安全报告发布:大模型、智能网联车风险亟待重视
时间:2025-11-23
-
-
哔哩哔哩漫画免费下载
- 类型:学习办公
- 大小:99kb
- 语言:简体中文
- 评分:
- 查看详情
2025中国软件供应链安全报告发布:大模型、智能网联车风险亟待重视
近期,奇安信代码安全实验室发布了一份中国软件供应链安全分析报告,这也是该系列报告连续第五年的公开信息。本年度的报告不仅详细回顾了过去一年中软件供应链各环节中的代码安全问题,还特别关注了新兴领域如开源大模型和智能网联汽车等。数据显示,与往年相比,国内企业自研软件项目的源代码整体缺陷密度显著上升,达到了/千行。这表明在软件开发过程中,编码错误和漏洞仍然普遍存在。同时,报告强调了多个项目依然存在长达二十年前的老旧开源漏洞,这意味着尽管技术进步迅速,但旧的问题仍未得到解决。此外,主流的十款开源大模型推理框架以及五家主要汽车厂商的关键部件均暴露出严重的供应链安全隐患。这些发现凸显了当前软件供应链面临的新挑战和高风险。安全专家呼吁企业加强对开源依赖和代码审查机制,以降低潜在的风险。总的来说,这份报告提醒企业和开发者在快速发展的技术环境中保持警惕,不断改进安全措施和技术手段,才能有效应对软件供应链中的各种威胁。
源代码整体缺陷密度继续攀升
在期间,奇安信代码安全实验室对共计国内企业自主研发的软件项目进行了源代码安全检测,累计检测代码量达,共识别出各类安全缺陷,其中高危缺陷为。整体缺陷密度达到每千行,而高危缺陷密度仅为每千行。相较历年数据,整体缺陷密度呈现持续上升趋势,但高危缺陷密度与去年基本持平,并较此前三年显著下降,显示出开发人员对高危缺陷的防范意识仍在加强。
根据最新报告,的开源软件生态系统继续保持增长态势,主流开源包的生态中开源项目的总数同比增长达到了惊人的,这一比例首次突破了千万级别。在这项研究中,对开源项目进行了安全检测,发现总共存在缺陷,其中高危缺陷的数量高达。整体的缺陷密度为每千行代码,而高危缺陷密度则进一步降低至每千行代码仅为。尽管如此,与前一年相比,缺陷密度保持稳定,但高危缺陷数量大幅减少,达到了近五年来的最低水平。与此同时,新增了包括CVE/NVD、CNNVD和CNVD在内的多个公开漏洞数据库中约与开源相关的漏洞。
报告揭示了一个重要的事实:国内企业在软件开发中对开源组件的依赖程度日益加深,且这一趋势在持续增长。根据数据,平均每款软件项目依赖开源组件,显示出巨大的依赖性。从漏洞风险来看,尽管每个项目的平均存在已知开源漏洞有所减少,但仍有、和的项目分别面临高危、超危及易利用漏洞的风险,整体风险依然保持在较高水平。值得注意的是,部分项目中甚至仍在使用含有二十年前遗留漏洞的开源组件。此外,随着软件开发的复杂度提升,开源许可协议带来的法律风险也在逐渐显现,有的项目采用了高危或超危级别的开源许可协议,可能对企业的商业利益和品牌声誉产生不利影响。在开源组件版本混乱、维护不善等方面也亟待改善。部分项目甚至仍在使用三十年前的旧版本。这些问题暴露了国内企业在软件开发过程中需要进一步加强的风险管理和合规性管理。
近九成核心开源软件从未披露过漏洞
关键基础开源软件:未公开漏洞的严峻现状所谓关键基础开源软件,指的是被超过其他开源项目直接依赖的软件。一旦出现漏洞,影响范围极广且修复难度极大。通过分析此类软件,发现其中有从未公开披露过任何漏洞,占比高达。这一比例呈现逐年上升的趋势。这显示了当前开源软件领域存在的安全隐患和对安全意识的忽视。
根据研究发现,导致这一现象的主要原因包括两个方面:首先,某些关键基础开源软件,特别是来自特定开源社区的项目,尽管其漏洞已被修复,但仍未进行记录或公开;其次,相关维护人员及安全研究人员对此类软件的关注度不足,缺乏深入的漏洞挖掘工作。这两个因素共同作用,使得该现象得以长期存在并影响到广大用户的安全和使用体验。
开源大模型推理框架存在严重漏洞隐患
随着人工智能技术的迅猛发展,大模型正迅速渗透到各行各业,成为推动新型生产力的关键力量。然而,这一进程也伴随着一系列安全问题的挑战。服务器故障、数据泄露以及模型篡改等风险不断升级。奇安信代码安全实验室对主流开源大模型推理框架进行了深入分析。结果显示,这些框架普遍集成了大量开源组件,从而引入了众多已知漏洞,构成了整个大模型应用环境的巨大供应链安全隐患。这种现象不仅影响了大模型的性能表现,还可能引发数据泄露、系统崩溃等严重问题。因此,加强大模型的安全防护措施变得尤为重要。
以OpenLLM为例,其v本中集成的BentoML v存在一个危急历史漏洞CVE-攻击者可借此对部署该模型的服务器发起供应链攻击,并成功获取root权限,验证了当前大模型推理框架所面临的实际威胁。
图:对OpenLLM框架服务器实施软件供应链攻击的复现过程
主流汽车厂商关键部件暴露重大安全风险
智能网联汽车领域正面临严重安全挑战,尤其是在软件供应链方面的问题日益突出。随着车辆越来越依赖先进的软件系统,其安全性变得更加脆弱。为了应对这一严峻形势,我们需要强化对软件供应链的保护措施,确保每一款产品都能安全可靠地运行。
研究团队对五家主流汽车制造商的关键部件固件进行了深入分析,结果揭示了严重的供应链安全问题。由于智能网联汽车结构复杂,广泛应用了大量第三方组件(包括开源组件),这些组件不仅增加了系统的高度,还大大提高了安全风险。例如,在网络通信中使用的开源协议和框架往往存在未修复的漏洞,从而成为攻击的主要入口。此外,软件更新过程中的配置错误、代码审查不严等问题也给系统带来了新的安全隐患。综合来看,尽管汽车制造商们投入了大量资源进行内部的安全控制措施,但在供应链安全方面仍面临巨大挑战。
以某汽车厂商T-Box固件为例,其内部使用的高通第三方组件QCMAP包含一个极具危险性的历史漏洞CVE-攻击者可以通过该漏洞成功发起供应链攻击并获取T-Box的root权限,从而实现对车辆的非法控制。此事件严重威胁驾乘人员的生命安全及公共交通安全。
图:对某汽车厂商T-Box实施软件供应链攻击的复现实例
随着我国软件供应链的安全状况持续改善,但仍面临诸多挑战。尽管如此,国家在近年来在软件供应链安全管理方面持续推进制度建设,并强化了监管措施,提升了行业治理能力。AI技术的应用也为安全防护带来了新机遇。为了进一步提升整体安全水平,报告提出三项建议:一是尽快制定和落实软件供应链安全标准体系;二是加强对重点行业的漏洞排查和安全监管;三是提升组织层面的软件供应链安全管理和技术防御能力。通过这些措施,我国有望在软件供应链安全管理方面取得更大的进展。
本报告详尽展示了当前软件供应链的安全状况及关键问题,并为未来行业的治理提供了宝贵建议,有助于促进中国软件产业健康发展和安全保障。
以上就是2025中国软件供应链安全报告发布:大模型、智能网联车风险亟待重视的详细内容,更多请关注其它相关文章!
