ca88登陆平台

《2025中国软件供给链安全汇报》颁布:大模型、智能网联车风险亟待器沉

功夫:2025-07-07 作者:

分享到:

近日,,,,,,ca88登陆平台代码安全尝试室颁布《2025中国软件供给链安全分析汇报》,,,,,,这已是该系列汇报陆续颁布的第5年 。。。。。。。本次汇报不仅深刻分解从前一年软件供给链各阶段代码安全问题,,,,,,更聚焦了开源大模型、智能网联汽车等新兴沉点领域 。。。。。。。

汇报显示,,,,,,与积年相比,,,,,,2024年国内企业自主开发的软件项目源代码整体缺点密度持续升高,,,,,,达到了13.26个/千行,,,,,,软件项目存在老旧开源软件缝隙的情况没有改善,,,,,,多个项目中依然存在20年前的开源软件缝隙 。。。。。。。汇报还发现,,,,,,10款主流开源大模型推理框架、5家主流厂商的汽车关键部件等均存在严沉的软件供给链安全风险,,,,,,这些沉点领域的风险亟待行业器沉 。。。。。。。

01

整体缺点密度持续升

2024年整年,,,,,,ca88登陆平台代码安全尝试室对2344个国内企业自主开发的软件项主张源代码进行了安全缺点检测,,,,,,检测的代码总量为518742205行,,,,,,共发现安全缺点6882301个,,,,,,其中高危缺点289343个,,,,,,整体缺点密度为13.26/千行,,,,,,高危缺点密度为0.55/千行 。。。。。。。与以往积年相比,,,,,,整体缺点密度持续升高,,,,,,但高危缺点密杜纂去年根基吃旖,,,,,,较之前三年有较大幅降低 。。。。。。。这注明开发者对高危缺点类型的沉点防备没有松弛 。。。。。。。

开源软件作为现代软件开发的基 。。。。。。。,,,,,其生态发展与安全情况备受关注 。。。。。。。汇报指出,,,,,,2024年开源软件生态持续繁华,,,,,,主流开源软件包生态系统中开源项目总量一年增长23.7%,,,,,,初次突破1000万 。。。。。。。在开源软件源代码安全检测中,,,,,,对2262个开源软件项目检测发现,,,,,,共存在安全缺点4669955个,,,,,,高危缺点20590个,,,,,,整体缺点密度为16.54个/千行,,,,,,高危缺点密度为0.78个/千行,,,,,,整体缺点密杜纂去年根基吃旖,,,,,,高危缺点密度有显著降落,,,,,,处于5年来最低水平 。。。。。。。在开源软件公开汇报缝隙方面,,,,,,2024年,,,,,,CVE/NVD、CNNVD、CNVD等公开缝隙库中新增开源软件有关缝隙10320个 。。。。。。。

汇报指出,,,,,,国内企业软件开发中开源软件利用宽泛,,,,,,且使用数量持续增长,,,,,,均匀每个软件项目使用168个开源软件 。。。。。。。在缝隙风险方面,,,,,,均匀每个软件项目存在66个已知开源软件缝隙,,,,,,较前两年显著削减,,,,,,存在已知开源软件高危缝隙、超危缝隙、容易利用缝隙的项目占比别离为73.0%、57.4%和57.5%,,,,,,均比去年有大幅降落,,,,,,但整体来看风险仍处于高位,,,,,,并没有底子上的扭转,,,,,,多个项目中甚至依然存在20年前的古老开源软件缝隙 。。。。。。。??? ??? ?慈砑许可和谈风险同样不容忽视,,,,,,21.2%的项目中使用、高危??? ??? ?葱砜珊吞福,,,,,可能对企业商衣符益和名誉造成侵害 。。。。。。。此表,,,,,,开源软件运维风险凸起,,,,,,近30年前的老旧开源软件版本仍在使用,,,,,,版本使用混乱问题依然存在 。。。。。。。

02

近9成关键基础开源软件从未公开披露过缝隙

关键基础开源软件重要指被多于1000个其他开源软件直接依赖的开源软件,,,,,,一旦出现缝隙,,,,,,影响领域巨大且解除难题 。。。。。。。汇报5485款关键基础开源软件分析发现,,,,,,有4806款从未公开披露过缝隙,,,,,,占比达87.6%,,,,,,该项数据出现出逐年升高的趋向,,,,,,如下图所示 。。。。。。。

分析发现,,,,,,造成关键基础开源软件中从未公开披露过缝隙的项目占比力高的原因重要有两个,,,,,,一是有的关键基础开源软件,,,,,,出格是有的开源社区中的软件,,,,,,缝隙固然已被建复了,,,,,,但没有纪录和公开 ;;; ;;二是守护和安全钻研等有关人员对一些关键基础开源软件安全性的关注度不够,,,,,,对它们缝隙挖掘的钻研还不多 。。。。。。。

03

开源大模型推理框架存在严沉风险

今年以来,,,,,,大模型在以雷霆万钧之势,,,,,,加快赋能千行百业,,,,,,成为推动新质出产力的主题引擎,,,,,,然而其带来的服务器瘫痪、数据泄露、模型被恶意篡改等安全问题也日渐凸起 。。。。。。。ca88登陆平台代码安全尝试室对10款开源大模型推理框架的典型版本进行了分析,,,,,,了局显示,,,,,,10款大模型推理框架均使用了大量开源软件,,,,,,并因而引入了已知缝隙,,,,,,这些缝隙给大模型推理框架的使用者带来了巨大的软件供给链安全风险和隐患 。。。。。。。

汇报中针对大模型推理框架OpenLLM进行了软件供给链攻击的事俘验证,,,,,,大模型推理框架OpenLLMv0.6.19中使用了开源BentoMLv1.4.0,,,,,,该开源库存在超危汗青缝隙CVE-2025-27520,,,,,,攻击者可利用缝隙对托管OpenLLM的服务器成功执行软件供给链攻击,,,,,,获得root shell 。。。。。。。

图:对OpenLLM框架服务器软件供给链攻击复现

04

五家主流汽车厂商存在严沉软件供应链安全问题

汇报针对智能网联汽车这一沉点领域进行的软件供给链安全风险专题分析了局令人忧郁 。。。。。。。随着汽车智能化、网联化水平的不休加深,,,,,,软件在汽车中的占比持续攀升,,,,,,软件供给链的安全问题对智能网联汽车的影响愈发关键 。。。。。。。
钻研团队对5家主流汽车厂商的关键部件固件发展深刻分析,,,,,,了局显示,,,,,,无一例表,,,,,,这些厂商均存在严沉的软件供给链安全风险 。。。。。。。由于智能网联汽车的复杂性,,,,,,第三方组件(蕴含开源组件)被宽泛利用于车辆的各个系统中,,,,,,这些第三方组件引入了大量的已知缝隙,,,,,,成为安全风险的沉要起源 。。。。。。。

汇报中针对汽车厂商T-Box固件进行了软件供给链攻击的事俘验证,,,,,,该T-Box固件中使用了高通的第三方组件QCMAP,,,,,,该组件存在超危汗青缝隙CVE-2020-3657,,,,,,攻击者可利用此缝隙对T-Box成功执行软件供给链攻击,,,,,,获得T-Box的root shell 。。。。。。。这意味着攻击者能够突破车辆正本的安全防线,,,,,,对车辆进行犯法操控,,,,,,甚至可能直接危及驾乘人员的性命安全以及公共交通安全 。。。。。。。

图:对某汽车厂商T-Box的软件供给链攻击复现
总体来看,,,,,,只管国内软件供给链安全态势有所改善,,,,,,但整体局势依然严格 。。。。。。。不外,,,,,,国内的软件供给链安全治理工作也在不休推动,,,,,,规范措施持续强化,,,,,,行业引领不休加强,,,,,,AI赋能成效逐步显露 。。。。。。。为进一步提升软件供给链安全水平,,,,,,汇报提出了三项建议,,,,,,别离是加快软件供给链安全尺度系统的建设和落地,,,,,,加大对沉点行业的风险排查和安全监管力度,,,,,,加强组织机构的软件供给链安全治理和技术能力 。。。。。。。
该汇报的颁布,,,,,,不仅为行业清澈出现了当前软件供给链安全的近况与问题,,,,,,更为后续软件供给链安全治理工作提供了有益参考,,,,,,对推动我国软件产业安全、健全发展拥有沉要意思 。。。。。。。
ca88登陆平台 95015网络安全服务热线

95015网络安全服务热线

扫一扫关注

ca88登陆平台 在线客服 ca88登陆平台 95015

您对ca88登陆平台的任何疑难可用以下方式通知我们

将您对ca88登陆平台的任何疑难

用以下方式通知我们

【网站地图】【sitemap】