2025中国软件供应链安全报告

主要观点总结

报告关于国内企业自主开发软件项目、开源软件生态及汽车关键部件的软件供应链安全风险的分析，涵盖了缺陷密度、开源软件应用、关键基础开源软件、开源大模型推理框架及汽车厂商软件供应链风险等方面的内容。

关键观点总结

关键观点1: 软件项目整体缺陷密度持续升高

2024年国内企业自主开发的软件项目源代码整体缺陷密度达到了13.26个/千行，且存在老旧开源软件漏洞的状况没有改善。

关键观点2: 开源软件生态繁荣但存在安全风险

报告指出开源软件生态持续繁荣，但存在严重的软件供应链安全风险，如整体缺陷密度与高危缺陷密度的问题，以及开源软件许可协议风险和运维风险。

关键观点3: 关键基础开源软件公开披露漏洞少

报告发现，大部分关键基础开源软件从未公开披露过漏洞，这可能由于维护人员对某些关键基础开源软件的安全性关注度不够，或者漏洞挖掘研究不足。

关键观点4: 开源大模型推理框架存在软件供应链风险

10款主流开源大模型推理框架均存在软件供应链安全风险，使用了大量开源软件并因此引入了已知漏洞。

关键观点5: 汽车智能网联领域软件供应链安全风险严重

报告指出智能网联汽车领域软件供应链安全风险突出，第三方组件（包括开源组件）的大量使用带来了安全风险，可能导致攻击者突破车辆安全防线，危及公共安全。