AB钱包

cec8636cd1e0b52afa9a812a53c8c541立即拨打95015
videoclose

《2025中国软件供给链安全汇报》颁布:大模型、、、智能网联车风险亟待器重

功夫:2025-07-07 作者:

分享到:

近日,AB钱包代码安全尝试室颁布《2025中国软件供给链安全分析汇报》,这已是该系列汇报陆续颁布的第5年。。。本次汇报不仅深刻分解从前一年软件供给链各阶段代码安全问题,更聚焦了开源大模型、、、智能网联汽车等新兴重点领域。。。

汇报显示,与积年相比,2024年国内企业自主开发的软件项目源代码整体缺点密度持续升高,达到了13.26个/千行,软件项目存在老旧开源软件缝隙的情况没有改善,多个项目中依然存在20年前的开源软件缝隙。。。汇报还发现,10款主流开源大模型推理框架、、、5家主流厂商的汽车关键部件等均存在严重的软件供给链安全风险,这些重点领域的风险亟待行业器重。。。

01

整体缺点密度持续升

2024年整年,AB钱包代码安全尝试室对2344个国内企业自主开发的软件项主张源代码进行了安全缺点检测,检测的代码总量为518742205行,共发现安全缺点6882301个,其中高危缺点289343个,整体缺点密度为13.26/千行,高危缺点密度为0.55/千行。。。与以往积年相比,整体缺点密度持续升高,但高危缺点密度与去年根基持平,较之前三年有较大幅降低。。。这注明开发者对高危缺点类型的重点防备没有松弛。。。
cbf5db4dcce06efcd09868fb536bcf42
开源软件作为现代软件开发的基础,其生态发展与安全情况备受关注。。。汇报指出,2024年开源软件生态持续繁华,主流开源软件包生态系统中开源项目总量一年增长23.7%,初次突破1000万。。。在开源软件源代码安全检测中,对2262个开源软件项目检测发现,共存在安全缺点4669955个,高危缺点20590个,整体缺点密度为16.54个/千行,高危缺点密度为0.78个/千行,整体缺点密度与去年根基持平,高危缺点密度有显著降落,处于5年来最低水平。。。在开源软件公开汇报缝隙方面,2024年,CVE/NVD、、、CNNVD、、、CNVD等公开缝隙库中新增开源软件有关缝隙10320个。。。
4a5d20f80cc8ae9e8d09b07bcd956344
汇报指出,国内企业软件开发中开源软件利用宽泛,且使用数量持续增长,均匀每个软件项目使用168个开源软件。。。在缝隙风险方面,均匀每个软件项目存在66个已知开源软件缝隙,较前两年显著削减,存在已知开源软件高危缝隙、、、超危缝隙、、、容易利用缝隙的项目占比别离为73.0%、、、57.4%和57.5%,均比去年有大幅降落,但整体来看风险仍处于高位,并没有底子上的扭转,多个项目中甚至依然存在20年前的古老开源软件缝隙。。???慈砑许可和谈风险同样不容忽视,21.2%的项目中使用、、、高???葱砜珊吞,可能对企业贸易利益和名誉造成侵害。。。此外,开源软件运维风险凸起,近30年前的老旧开源软件版本仍在使用,版本使用混乱问题依然存在。。。

02

近9成关键基础开源软件从未公开披露过缝隙

关键基础开源软件重要指被多于1000个其他开源软件直接依赖的开源软件,一旦出现缝隙,影响领域巨大且解除难题。。。汇报5485款关键基础开源软件分析发现,有4806款从未公开披露过缝隙,占比达87.6%,该项数据出现出逐年升高的趋向,如下图所示。。。
09d0d29101115f439d1cff39c2438836
分析发现,造成关键基础开源软件中从未公开披露过缝隙的项目占比力高的原因重要有两个,一是有的关键基础开源软件,出格是有的开源社区中的软件,缝隙固然已被修复了,但没有纪录和公开;;二是守护和安全钻研等有关人员对一些关键基础开源软件安全性的关注度不够,对它们缝隙挖掘的钻研还不多。。。

03

开源大模型推理框架存在严重风险

今年以来,大模型正在以雷霆万钧之势,加快赋能千行百业,成为推动新质出产力的主题引擎,然而其带来的服务器瘫痪、、、数据泄露、、、模型被恶意篡改等安全问题也日渐凸起。。。AB钱包代码安全尝试室对10款开源大模型推理框架的典型版本进行了分析,了局显示,10款大模型推理框架均使用了大量开源软件,并因而引入了已知缝隙,这些缝隙给大模型推理框架的使用者带来了巨大的软件供给链安全风险和隐患。。。
8d29a21697c5335148e98c88021b6d44
汇报中针对大模型推理框架OpenLLM进行了软件供给链攻击的实例验证,大模型推理框架OpenLLMv0.6.19中使用了开源BentoMLv1.4.0,该开源库存在超危汗青缝隙CVE-2025-27520,攻击者可利用缝隙对托管OpenLLM的服务器成功执行软件供给链攻击,获得root shell。。。
6d91938f6fff1ff6931b12f7646905a3
图:对OpenLLM框架服务器软件供给链攻击复现

04

五家主流汽车厂商存在严重软件供应链安全问题

汇报针对智能网联汽车这一重点领域进行的软件供给链安全风险专题分析了局令人忧郁。。。随着汽车智能化、、、网联化水平的不休加深,软件在汽车中的占比持续攀升,软件供给链的安全问题对智能网联汽车的影响愈发关键。。。
钻研团队对5家主流汽车厂商的关键部件固件发展深刻分析,了局显示,无一例外,这些厂商均存在严重的软件供给链安全风险。。。由于智能网联汽车的复杂性,第三方组件(蕴含开源组件)被宽泛利用于车辆的各个系统中,这些第三方组件引入了大量的已知缝隙,成为安全风险的重要起源。。。
6dd855ed1fcda7eef56ff48185f6e1f1
汇报中针对汽车厂商T-Box固件进行了软件供给链攻击的实例验证,该T-Box固件中使用了高通的第三方组件QCMAP,该组件存在超危汗青缝隙CVE-2020-3657,攻击者可利用此缝隙对T-Box成功执行软件供给链攻击,获得T-Box的root shell。。。这意味着攻击者能够突破车辆正本的安全防线,对车辆进行犯法操控,甚至可能直接危及驾乘人员的性命安全以及公共交通安全。。。
491233a5926400f8ccfa4b1b7aa2226f
图:对某汽车厂商T-Box的软件供给链攻击复现
总体来看,只管国内软件供给链安全态势有所改善,但整体局势依然严格。。。不外,国内的软件供给链安全治理工作也在不休推动,规范措施持续强化,行业引领不休加强,AI赋能成效逐步显露。。。为进一步提升软件供给链安全水平,汇报提出了三项建议,别离是加快软件供给链安全尺度系统的建设和落地,加大对重点行业的风险排查和安全监管力度,加强组织机构的软件供给链安全治理和技术能力。。。
该汇报的颁布,不仅为行业清澈出现了当前软件供给链安全的近况与问题,更为后续软件供给链安全治理工作提供了有益参考,对推动我国软件产业安全、、、健康发展拥有重要意思。。。
AB钱包 95015网络安全服务热线

95015网络安全服务热线

dfbde4cb85646fd4b89543c1f49b6091

扫一扫关注

AB钱包 在线客服 AB钱包 95015

您对AB钱包的任何疑难可用以下方式通知我们

将您对AB钱包的任何疑难

用以下方式通知我们

【网站地图】