2025中国软件供应链安全分析报告

2025 中国软件供应链安全分析报告I摘要 2024 年国内企业自主开发软件的源代码高危缺陷密度为 0.55 个/千行，处于历年来较低水平。但整体缺陷密度为 13.26 个/千行，持续升高。 2024 年，CVE/NVD、CNNVD、CNVD 等公开漏洞库中新增开源软件相关漏洞 10320 个。 2024 年，主流开源软件包生态系统中不活跃的开源软件项目数量为 7453176 个，占比高达 74.5%，呈现出增高的趋势。 2024 年，国内企业软件项目中，平均每个项目使用了 168 个开源软件，几年来呈现出持续增长的态势。 2024 年，国内企业平均每个软件项目存在 66 个已知开源软件漏洞，较前两年明显减少；存在已知开源软件高危漏洞、超危漏洞、容易利用漏洞的项目占比分别为 73.0%、57.4%和 57.5%，均比去年有大幅下降。但整体风险仍处于高位，没有根本上的改变。 2024 年，国内企业软件项目中存在老旧开源软件漏洞的状况没有改善，多个项目中依然存在 20 年前的开源软件漏洞。 通过对智能网联汽车和大语言模型（LLM）两个热点领域的固件和软件进行专题分析发现，这些领域均存在严重的软件供应链安全风险，不容忽视。II目录一、概述........................................................................................1二、国内企业自主开发源代码安全状况..........................................11、编程语言分布情况................................................................. 22、典型安全缺陷检出情况.......................................................... 3三、开源软件生态发展与安全状况.................................................41、开源软件生态发展状况分析................................................... 42、开源软件源代码安全状况分析................................................6（1）编程语言分布情况...........................................................6（2）典型安全缺陷检出情况....................................................73、开源软件公开报告漏洞状况分析............................................ 8（1）大型开源项目漏洞总数及年度增长 TOP20...................... 8（2）主流开源软件包生态系统漏洞总数及年度增长 TOP20.. 114、开源软件活跃度状况分析.....................................................14（1）近 3/4 的开源项目处于不活跃状态................................ 14（2）版本频繁更新的项目较去年增长超 1/3..........................155、关键基础开源软件分析........................................................ 15III（1）主流开源生态中关键基础开源软件数量为 5485............ 16（2）近 9 成关键基础开源软件从未公开披露过漏洞.............. 18（3）关键基础开源软件存在较大的运维风险......................... 19四、国内企业软件开发中开源软件应用状况.................................201、开源软件总体使用情况分析................................................. 20（1）平均每个软件项目使用 168 个开源软件，持续增长.......20（2）最流行的开源软件被 38.6%的软件项目使用................. 212、开源软件漏洞风险分析........................................................ 22（1）各类已知开源软件漏洞的检出率明显下降......................22（2）项目的平均已知开源软件漏洞数明显减少......................23（3）影响最广的容易利用漏洞存在于 1/4 的项目中.............. 24（4）多个软件项目中依然存在 20 年前的开源软件漏洞.........253、开源软件许可协议风险分析................................................. 26（1）最流行的开源许可协议在 45.9%的项目中使用..............26（2）超、高危开源许可协议在 21.2%的项目中使用..............274、开源软件运维风险分析........................................................ 29（1）近 30 年前的老旧开源软件版本仍在使用.......................29（2）开源软件版本的使用依然混乱....................................... 30五、重点领域软件供应链安全风险专题分析.................................31IV1、智能网联汽车关键部件软件供应链安全风险分析................. 31（1）第三方组件及引入的漏洞情况....................................... 31（2）常用第三方组件及其漏洞风险....................................... 32（3）攻击实例验证分析.........................................................332、开源大模型推理框架软件供应链安全风险分析.....................34（1）开源软件及引入的漏洞情况...........................................35（2）常用开源软件及其漏洞风险...........................................36（3）攻击实例验证分析.........................................................37六、总结及建议.................