2025中国软件供应链安全分析报告

　　2024年国内企业自主开发软件的源代码高危缺陷密度为0.55个/千行，处于历年来较低水平。但整体缺陷密度为13.26个/千行，持续升高。

　　2024年，CVE/NVD、CNNVD、CNVD等公开漏洞库中新增开源软件相关漏洞10320个。

　　2024年，主流开源软件包生态系统中不活跃的开源软件项目数量为7453176个，占比高达74.5%，呈现出增高的趋势。

　　2024年，国内企业软件项目中，平均每个项目使用了168个开源软件，几年来呈现出持续增长的态势。

　　2024年，国内企业平均每个软件项目存在66个已知开源软件漏洞，较前两年明显减少；存在已知开源软件高危漏洞、超危漏洞、容易利用漏洞的项目占比分别为73.0%、57.4%和57.5%，均比去年有大幅下降。但整体风险仍处于高位，没有根本上的改变。

　　2024年，国内企业软件项目中存在老旧开源软件漏洞的状况没有改善，多个项目中依然存在20年前的开源软件漏洞。

　　通过对智能网联汽车和大语言模型（LLM）两个热点领域的固件和软件进行专题分析发现，这些领域均存在严重的软件供应链安全风险，不容忽视。

点击复制链接查看完整PDF研报

奇安信