2025中國(guó)軟件供應(yīng)鏈安全分析報(bào)告_第1頁(yè)
2025中國(guó)軟件供應(yīng)鏈安全分析報(bào)告_第2頁(yè)
2025中國(guó)軟件供應(yīng)鏈安全分析報(bào)告_第3頁(yè)
2025中國(guó)軟件供應(yīng)鏈安全分析報(bào)告_第4頁(yè)
2025中國(guó)軟件供應(yīng)鏈安全分析報(bào)告_第5頁(yè)
已閱讀5頁(yè),還剩63頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

III 1 1 2 3 4 4 6 6 7 8 8(2)主流開源軟件包生態(tài)系統(tǒng)漏洞總數(shù)及年度增長(zhǎng)TOP20 III (1)平均每個(gè)軟件項(xiàng)目使用168個(gè) 20 (1)各類已知開源軟件漏洞的檢出率明顯 22 23 25 29 31IV 34 421二、國(guó)內(nèi)企業(yè)自主開發(fā)源代碼安全狀況發(fā)的軟件項(xiàng)目的源代碼進(jìn)行了安全缺陷檢測(cè),檢測(cè)的代碼總量為21、編程語(yǔ)言分布情況32、典型安全缺陷檢出情況41、開源軟件生態(tài)發(fā)展?fàn)顩r分析底,主流開源軟件包生態(tài)系統(tǒng)中開源項(xiàng)目總量分別為8089154和個(gè)典型的開源軟件包生態(tài)系統(tǒng)中開源項(xiàng)目數(shù)量和增長(zhǎng)率情況如下圖1210.134s65614.6782、開源軟件源代碼安全狀況分析(1)編程語(yǔ)言分布情況783、開源軟件公開報(bào)告漏洞狀況分析(1)大型開源項(xiàng)目漏洞總數(shù)及年度增長(zhǎng)TOP20912345678910111213141516171819123456firefox/789101112131471151816171819(2)主流開源軟件包生態(tài)系統(tǒng)漏洞總數(shù)及年度增長(zhǎng)TOP2012345678910111213141211511616114171819libTIFF1234567891014111412141314141315131613171218121911104、開源軟件活躍度狀況分析報(bào)告依然將超過一年未更新發(fā)布版本的開源軟件項(xiàng)目定義為不報(bào)告依然將超過一年未更新發(fā)布版本的開源軟件項(xiàng)目定義為不12345678(2)版本頻繁更新的項(xiàng)目較去年增長(zhǎng)超1/3123456785、關(guān)鍵基礎(chǔ)開源軟件分析(1)主流開源生態(tài)中關(guān)鍵基礎(chǔ)開源軟件數(shù)量為548512345typescript678eslint9junit:junit1011.21%111213141516171819railsorg.jetbrains.kotlin:kotlin-stdlibminitestprettierorg.slf4j:slf4j-apijestsqlite3matplotlibeslint-plugin-import4.11%4.11%(2)近9成關(guān)鍵基礎(chǔ)開源軟件從未公開披露過漏洞是維護(hù)和安全研究等相關(guān)人員對(duì)一些關(guān)鍵基礎(chǔ)開源軟件安全性的關(guān)(3)關(guān)鍵基礎(chǔ)開源軟件存在較大的運(yùn)維風(fēng)險(xiǎn)本報(bào)告從“版本更新時(shí)間”和“周提交頻率”兩個(gè)維度來分析判201、開源軟件總體使用情況分析(1)平均每個(gè)軟件項(xiàng)目使用168個(gè)開源軟件,持續(xù)增長(zhǎng)21在被分析的1538個(gè)軟件項(xiàng)目中,使用222、開源軟件漏洞風(fēng)險(xiǎn)分析(1)各類已知開源軟件漏洞的檢出率明顯下降23(2)項(xiàng)目的平均已知開源軟件漏洞數(shù)明顯減少24(3)影響最廣的容易利用漏洞存在于1/4的項(xiàng)目中25洞10的容易利用的開源軟件漏洞情況如下表所示。影響最廣的容易利(4)多個(gè)軟件項(xiàng)目中依然存在20年前的2651111115655563、開源軟件許可協(xié)議風(fēng)險(xiǎn)分析(1)最流行的開源許可協(xié)議在45.9%的項(xiàng)目中使用271114.1%(2)超、高危開源許可協(xié)議在21.2%的項(xiàng)目中使用有些類型的開源許可協(xié)議中包含了一些限制性條款,如一些類商業(yè)利益和聲譽(yù)造成嚴(yán)重的損害。這些限制性條款包括如:“禁止本代碼”等。28奇安信代碼安全實(shí)驗(yàn)室將限制性較為苛刻的一類協(xié)議定義為超181372數(shù)1112986(1)近30年前的老舊開源軟件版本仍在使用1glut3.1-3330perl11perl1171.10711.21114131121118五、重點(diǎn)領(lǐng)域軟件供應(yīng)鏈安全風(fēng)險(xiǎn)專題分析1、智能網(wǎng)聯(lián)汽車關(guān)鍵部件軟件供應(yīng)鏈安全風(fēng)險(xiǎn)分析奇安信代碼安全實(shí)驗(yàn)室對(duì)5家主流汽車廠商應(yīng)用于其主要車型(1)第三方組件及引入的漏洞情況3271些第三方組件的使用給相應(yīng)部件引入了大量的已知漏洞,廠商一的(2)常用第三方組件及其漏洞風(fēng)險(xiǎn)331234zlib56789超危:114,高危:4110342、開源大模型推理框架軟件供應(yīng)鏈安全風(fēng)險(xiǎn)分析35(1)開源軟件及引入的漏洞情況10個(gè)典型版本的大模型推理框架使用的開源軟件情況361311可以看出,10個(gè)版本的大模型推理框架均使用了大量的開源軟1urllib32certifi3Jinja245376h1178joblib910的是urllib3,共檢測(cè)出11個(gè)版本;urllib3、certifi、Jinja2、3839開發(fā)的軟件和“開源項(xiàng)目檢測(cè)計(jì)劃”檢測(cè)的開源軟件的源代碼高危缺洞管理等方面的產(chǎn)品生態(tài)繪制、能力評(píng)估、工具評(píng)價(jià)等工作;三是軟件供應(yīng)鏈安全分析的效率和準(zhǔn)確性更加容易,例如基于AI的代碼4041工具鏈管理、供應(yīng)商管理、采購(gòu)流程管理等諸多方面;組織機(jī)構(gòu)和/42

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論