

2025中国软件供应链安全分析报告

求数科技

2025-09-05

导读：2024 年国内企业自主开发软件的源代码高危缺陷密度为 0.55 个/ 千行，处于历年来较低水平。

2024 年国内企业自主开发软件的源代码高危缺陷密度为 0.55 个/ 千行，处于历年来较低水平。但整体缺陷密度为 13.26 个/千行，持续升高。

2024 年，CVE/NVD、CNNVD、CNVD 等公开漏洞库中新增开源软件相关漏洞 10320 个。

2024 年，主流开源软件包生态系统中不活跃的开源软件项目数量为 7453176 个，占比高达 74.5%，呈现出增高的趋势。 2024 年，国内企业软件项目中，平均每个项目使用了 168 个开源软件，几年来呈现出持续增长的态势。

2024 年，国内企业平均每个软件项目存在 66 个已知开源软件漏洞，较前两年明显减少；存在已知开源软件高危漏洞、超危漏洞、容易利用漏洞的项目占比分别为 73.0%、57.4%和 57.5%，均比去年有大幅下降。

但整体风险仍处于高位，没有根本上的改变。2024 年，国内企业软件项目中存在老旧开源软件漏洞的状况没有改善，多个项目中依然存在 20 年前的开源软件漏洞。

通过对智能网联汽车和大语言模型（LLM）两个热点领域的固件和软件进行专题分析发现，这些领域均存在严重的软件供应链安全风险，不容忽视。

众所周知，目前软件供应链已成为网络安全攻击的重要渠道之一。基于对软件供应链安全领域的持续关注和相应技术能力的不断积累，奇安信代码安全实验室继续推出《2025 中国软件供应链安全分析报告》。

至此，该系列报告已连续发布 5 年。软件由自主开发的代码与开源代码等第三方代码集成后，形成混源代码，然后通过编译、连接等构建过程形成软件产品，交付给用户使用。在这一软件供应流程中，每个阶段的代码或工件都可能引入安全问题，从而导致最终软件供应链安全事件的爆发。

基于此流程模型，本报告分析了过去一年中各阶段的代码安全问题对软件供应链安全性的潜在威胁，并总结了 5 年来的趋势和变化，相关阶段的分析内容分别呈现在后续各章节中。与往年相比，本报告第五章变更为专题分析，针对智能网联汽车关键部件的固件和开源大模型推理框架软件，分别进行了软件供应链安全风险分析和攻击实例验证分析。感兴趣的读者可以重点关注。

作为软件的最终用户，组织机构直接面对供应链风险。因此，组织机构应在内部建立完善的软件供应链安全管理制度并严格执行，管理制度一般应涉及开源软件使用、安全开发、漏洞管理和通报、开发工具链管理、供应商管理、采购流程管理等诸多方面；

组织机构和/ 或相应的软件供应商应通过自主建设或采购专业网络安全企业产品、服务的方式，不断提升自身的软件供应链安全防护技术能力，例如，结合大模型等 AI 技术，提升代码安全检测、开源软件安全风险分析、 SBOM 自动生成、软件漏洞威胁情报分析等方面工作的效率和准确性，以此来促进其管理制度的高效落实和有效执行。