2025年中国软件供应链安全分析报告：高危漏洞密度降至历史最低，开源风险仍存隐忧

随着数字化转型的深入推进，软件供应链安全已成为保障国家网络安全的重要环节。奇安信代码安全实验室最新发布的《2025中国软件供应链安全分析报告》揭示了当前我国软件供应链安全领域的最新态势与发展趋势。报告显示，2024年国内企业自主开发软件的源代码高危缺陷密度降至0.55个/千行，处于历年来最低水平，反映出企业在高危缺陷防范方面取得显著成效。然而，整体缺陷密度仍高达13.26个/千行，且持续升高，表明软件供应链安全形势依然严峻。特别是在智能网联汽车和大语言模型等新兴技术领域，软件供应链安全问题尤为突出，亟需行业关注与解决。本报告将深入分析当前软件供应链安全现状、开源软件生态发展状况、企业开源应用风险以及重点领域安全挑战，为行业提供全面的安全洞察。

一、国内软件供应链安全现状：高危缺陷改善但整体风险攀升

2024年，中国软件供应链安全呈现出"高危改善、整体攀升"的复杂态势。奇安信代码安全实验室对2344个国内企业自主开发的软件项目进行了深入检测，涉及代码总量达5.19亿行，结果显示高危缺陷密度为0.55个/千行，较前三年有显著降低，表明开发者在高危缺陷防范方面投入了更多关注。这一积极变化反映出国内企业在安全编码意识和技术能力上的提升，特别是在金融、电信等关键基础设施行业，安全开发生命周期(SDL)的普及应用功不可没。

然而，整体缺陷密度却呈现持续上升趋势，达到13.26个/千行，共发现安全缺陷688万余个，其中高危缺陷28.9万个。这一矛盾现象揭示了当前软件开发的深层次问题：虽然企业对高危漏洞的防范意识增强，但对中低危缺陷的重视程度不足。从编程语言分布来看，Java、C/C++和Python仍是国内企业最主流的开发语言，三者占比接近90%，其中Java项目高达1631个，占比69.6%，反映出企业技术栈的相对集中性，这种集中性也带来了特定语言生态下的安全风险聚集。

从缺陷类型分析，输入验证类缺陷检出率超过50%，达到历年最高，成为最普遍的安全问题；跨站脚本(XSS)类缺陷紧随其后，检出率居高不下。这两类缺陷都与用户输入处理不当直接相关，暴露出开发过程中对边界条件检查和数据验证的普遍忽视。值得注意的是，密码管理类缺陷检出率有明显下降，这与近年来多起重大数据泄露事件的警示作用密不可分，企业加强了对认证授权机制的安全管控。

​​行业差异​​方面，互联网企业由于持续集成/持续交付(CI/CD)的广泛应用，缺陷修复速度较快；而传统行业尤其是制造业的软件项目，往往存在大量遗留代码，安全更新滞后。地域分布上，一线城市企业的代码安全水平明显优于二三线城市，反映出安全人才分布的不均衡性。企业规模也与安全质量呈正相关，大型企业由于有更完善的安全流程和专职安全团队，代码质量普遍优于中小企业。

​​技术债问题​​日益凸显，许多企业为追求快速交付而牺牲代码质量，导致技术债不断累积。报告显示，多个软件项目中依然存在20年前的开源软件漏洞，最古老的漏洞可追溯至2005年11月(CVE-2005-3745)，这些"古董级"漏洞的存在反映出企业软件资产管理的不完善。随着数字化转型加速，这种"重功能、轻安全"的开发模式正在积累系统性风险，亟需通过建立全生命周期的软件供应链安全管理体系来应对。

二、开源软件生态双面性：繁荣发展伴随安全隐患

开源软件生态在2024年继续保持高速增长，主流开源软件包生态系统中的项目总量突破1000万大关，达到10010134个，年增长率高达23.7%。Godoc以33.6%的增速成为增长最快的包生态系统，而NPM则以5396835个项目的绝对数量保持领先地位。这种增长态势反映出全球开发者对开源协作模式的持续青睐，以及开源技术在创新驱动发展中的核心地位。Maven生态系统展现出极高的活跃度，平均每个项目拥有25.7个版本，远高于其他生态，反映出Java社区对版本迭代和质量控制的重视。

然而，开源生态的繁荣背后隐藏着严重的安全隐患。2024年公开漏洞库新增开源软件相关漏洞10320个，截至年底累计达74500个，其中Linux Kernel以9674个历史漏洞总数位居榜首，2024年新增漏洞更高达3602个。TensorFlow以442个漏洞成为主流开源软件包生态系统中历史漏洞最多的项目，Electron以420个漏洞紧随其后。这些数据表明，越是广泛应用的基础开源软件，越容易成为攻击者的重点目标，也越需要社区投入更多安全资源。

​​开源项目活跃度​​呈现两极分化态势。一方面，74.5%的开源项目(7453176个)处于不活跃状态，Rubygems生态中不活跃项目比例甚至高达89.8%；另一方面，版本频繁更新的项目数量较去年增长34.4%，NPM生态中有21207个项目一年内发布超过100个版本。这种分化给企业开源治理带来巨大挑战：不活跃项目意味着漏洞难以得到及时修复，而过度活跃项目则增加了企业跟踪维护的成本。如何平衡稳定性和安全性，成为企业开源策略的关键考量。

​​关键基础开源软件​​的安全状况尤其值得关注。被超过1000个其他开源软件直接依赖的"关键基础开源软件"共有5485款，其中87.6%(4806款)从未公开披露过漏洞。这一看似乐观的数据实际上反映了开源安全研究的盲区——许多基础组件的安全性并未得到足够关注。更令人担忧的是，66.5%的关键基础开源软件半年内未发布新版本，79.5%的项目周平均提交次数小于5次，维护不足的问题十分突出。rake、bundler和phpunit/phpunit成为依赖率最高的三大开源软件，分别达到43.07%、37.14%和33.39%，这些高依赖组件的任何安全问题都可能引发广泛的连锁反应。

​​开源安全治理​​的复杂性还体现在跨生态依赖上。一个典型的现代软件项目往往同时依赖多个包生态系统的组件，如同时使用NPM的JavaScript库、Maven的Java包和Pypi的Python模块，这种交叉依赖使得安全影响评估和漏洞修复路径变得异常复杂。随着微服务架构和云原生技术的普及，开源软件依赖关系网将进一步扩大和复杂化，对企业的开源治理能力提出更高要求。

三、企业开源应用现状：风险改善但仍处高位

国内企业对开源软件的应用已进入深度依赖阶段。奇安信对1538个企业软件项目的分析显示，开源软件使用率达到100%，平均每个项目使用168个开源软件，持续多年增长，最多达4680个。SLF4J API Module成为最流行的开源组件，使用率达38.6%，Apache License 2.0则以45.9%的占比成为最常用开源协议。这种深度依赖使企业软件开发效率大幅提升，但也将安全风险控制权部分让渡给了开源社区。

​​开源漏洞风险​​方面呈现出"量减质存"的特点。2024年平均每个项目存在66个已知开源软件漏洞，回落至五年前水平；存在高危、超危和易利用漏洞的项目占比分别为73.0%、57.4%和57.5%，较去年均有明显下降。这表明企业对已知漏洞的治理取得一定成效，但整体风险仍处高位。VMware Spring Security的CVE-2024-38827成为影响最广的漏洞，涉及35.9%的项目；而Spring Framework的CVE-2016-1000027则是最普遍的易利用漏洞，检出率25.0%。这些数据反映出流行框架的安全问题影响尤为深远。

​​许可协议风险​​不容忽视。21.2%的项目使用了具有严格限制条款的超危或高危开源协议，其中GPL-3.0-only(79个项目)、GPL-3.0-or-later(60个项目)和LGPL-3.0-only(23个项目)位列超危协议前三。这些协议中的"传染性"条款可能迫使企业公开专有代码，对商业机密保护构成挑战。值得注意的是，许可协议风险认知存在行业差异，互联网企业普遍比传统企业更重视协议合规，建有专门的合规审查流程。

​​版本管理混乱​​问题持续存在。Spring AOP有147个版本被同时使用，Spring框架相关组件平均有140多个版本在使用中，版本碎片化严重。更令人担忧的是，部分项目仍在使用近30年前的老旧版本，如1996年发布的latex 2e-7和glut 3.1-3。这种版本混乱状态极大增加了安全维护难度，也是许多古老漏洞长期存在的主要原因。行业最佳实践表明，建立统一的软件物料清单(SBOM)和版本生命周期管理策略，是解决这一问题的有效途径。

​​行业应用差异​​分析显示，金融和电信行业在开源治理上相对成熟，普遍建立了开源软件准入评估、持续监控和应急响应机制；而制造业和部分中小企业则相对滞后，往往缺乏系统的开源管理策略。地域分布上，长三角和珠三角地区的企业对开源风险认知度更高，治理措施也更完善，反映出区域数字经济发展水平与开源治理能力的正相关性。

四、重点领域安全挑战：智能网联汽车与LLM风险突出

智能网联汽车和大型语言模型(LLM)作为数字化转型的前沿领域，其软件供应链安全问题具有典型性和代表性。奇安信对5家主流汽车厂商关键部件固件的分析显示，第三方组件引入的漏洞风险十分严重。某厂商T-Box使用了59个第三方组件，引入3118个漏洞，其中超危69个、高危603个；另一厂商IVI更是使用了1348个第三方组件。这种复杂的供应链结构使得车辆网络安全防护面临极大挑战。

​​汽车供应链风险​​呈现集中性和特殊性。CURL、OpenSSL和SQLite成为最常用的第三方组件，同时也是最主要的漏洞来源。其中，CURL带来79个超危和252个高危漏洞，OpenSSL引入59个超危和185个高危漏洞。更值得关注的是，QCMAP组件中的CVE-2020-3657漏洞可导致远程代码执行，攻击者借此可获得root权限的反弹Shell。这些案例表明，汽车软件化趋势下，传统供应链安全边界已被打破，IT系统的安全威胁正快速向车辆系统蔓延。

​​LLM推理框架​​的开源风险同样严峻。分析10款开源大模型推理框架发现，平均每个框架使用478个开源软件，其中Gradio v5.0.1使用了惊人的2384个开源组件。ollama v0.5.0包含203个已知漏洞(11个超危、124个高危)，安全状况堪忧。urllib3、certifi和Jinja2成为最常用的开源组件，同时也是重要的漏洞来源。特别值得警惕的是，OpenLLM v0.6.19使用的BentoML v1.4.0存在CVE-2025-27520漏洞，可导致远程代码执行，攻击者可借此获得服务器root权限。

​​新兴技术共性风险​​主要体现在三方面：一是技术迭代快导致安全措施滞后，许多团队为抢占市场先机而牺牲安全考量；二是供应链层级深，一个最终产品可能依赖数百个间接依赖项，形成复杂的"依赖树"，使得风险评估和管控极为困难；三是跨界融合带来新的攻击面，如智能网联汽车同时涉及传统汽车电子和新兴IT技术，攻击路径更加多样化。

​​行业应对策略​​差异明显。汽车行业已开始建立针对ECU和车载系统的软件物料清单，部分领军企业设立了专门的汽车网络安全团队；而LLM领域的安全防护则相对初级，许多初创公司缺乏足够的安全资源。这种差异反映出不同行业数字化成熟度的差距，也预示着随着技术融合加深，跨行业的安全标准与最佳实践交流将变得愈发重要。值得注意的是，两类领域都开始探索AI技术赋能安全防护，如利用机器学习分析海量开源组件漏洞数据，但整体仍处于起步阶段。

以上就是关于2025年中国软件供应链安全的全面分析。当前形势呈现出"高危改善、总量攀升、热点突出"的典型特征，反映出我国软件供应链安全治理进入深水区。开源软件作为现代软件开发的基石，其生态繁荣与安全风险并存，关键基础组件的维护不足问题尤其值得警惕。企业开源应用虽风险指标有所改善，但整体仍处高位，版本管理和许可合规成为突出短板。智能网联汽车和大型语言模型作为两大前沿领域，其供应链安全问题具有代表性和紧迫性。

未来，随着国家标准体系完善、行业监管强化和组织能力提升，结合AI技术赋能安全分析，我国软件供应链安全水平有望实现质的飞跃。各行业应充分认识软件供应链安全的战略意义，加快构建覆盖全生命周期的安全管理体系，为数字经济发展筑牢安全基石。特别需要强调的是，软件供应链安全是典型的全局性挑战，需要政府、行业、企业和社区多方协同，形成治理合力，共同应对日益复杂的网络安全威胁环境。

（本文仅供参考，不代表我们的任何投资建议。如需使用相关信息，请参阅报告原文。）