2024年国内企业自主开发软件的源代码高危缺陷密度为0.55个/千行,处于历年来较低水平。但整体缺陷密度为13.26个/千行,持续升高。
2024年,CVE/NVD、CNNVD、CNVD等公开漏洞库中新增开源软件相关漏洞10320个。
2024年,主流开源软件包生态系统中不活跃的开源软件项目数量为7453176个,占比高达74.5%,呈现出增高的趋势。
2024年,国内企业软件项目中,平均每个项目使用了168个开源软件,几年来呈现出持续增长的态势。
2024年,国内企业平均每个软件项目存在66个已知开源软件漏洞,较前两年明显减少;存在已知开源软件高危漏洞、超危漏洞、容易利用漏洞的项目占比分别为73.0%、57.4%和57.5%,均比去年有大幅下降。但整体风险仍处于高位,没有根本上的改变。
2024年,国内企业软件项目中存在老旧开源软件漏洞的状况没有改善,多个项目中依然存在20年前的开源软件漏洞。
通过对智能网联汽车和大语言模型(LLM)两个热点领域的固件和软件进行专题分析发现,这些领域均存在严重的软件供应链安全风险,不容忽视。
一、概述
众所周知,目前软件供应链已成为网络安全攻击的重要渠道之一。基于对软件供应链安全领域的持续关注和相应技术能力的不断积累,奇安信代码安全实验室继续推出《2025中国软件供应链安全分析报告》。至此,该系列报告已连续发布5年。
软件由自主开发的代码与开源代码等第三方代码集成后,形成混源代码,然后通过编译、连接等构建过程形成软件产品,交付给用户使用。在这一软件供应流程中,每个阶段的代码或工件都可能引入安全问题,从而导致最终软件供应链安全事件的爆发。验室
基于此流程模型,本报告分析了过去一年中各阶段的代码安全问题对软件供应链安全性的潜在威胁,并总结了5年来的趋势和变化,相关阶段的分析内容分别呈现在后续各章节中。与往年相比,本报告
第五章变更为专题分析,针对智能网联汽车关键部件的固件和开源大
模型推理框架软件,分别进行了软件供应链安全风险分析和攻击实例验证分析。感兴趣的读者可以重点关注。
二、国内企业自主开发源代码安全状况
2024年全年,奇安信代码安全实验室对2344个国内企业自主开发的软件项目的源代码进行了安全缺陷检测,检测的代码总量为518742205行,共发现安全缺陷6882301个,其中高危缺陷289343个,整体缺陷密度为13.26个/千行,高危缺陷密度为0.55个/千行。与以往历年相比,整体缺陷密度持续升高,但高危缺陷密度与去年基本持平,较之前三年有较大幅降低。这说明开发者对高危缺陷类型的重点防范没有松懈。
本文来自知之小站
PDF完整报告已分享至知识星球,微信扫码加入立享4万+最新精选报告
(星球内含更多专属精选报告.其它事宜可联系zzxz_88@163.com)
