91黑料网

EN
www.world-show.cn

床上108种插杆方式2025中国软件供应链安全报告发布:大模型、智能网联车风险亟待重视

近日,奇安信代码安全实验室发布《2025中国软件供应链安全分析报告》,这已是该系列报告连续发布的第5年。本次报告不仅深入剖析过去一年软件供应链各阶段代码安全问题,更聚焦了开源大模型、智能网联汽车等新兴重点领域。报告显示,与历年相比,2024年国内公司自主开发的软件项目源代码整体缺陷密度持续升高,达到了13.26个/千行,软件项目存在老旧开源软件漏洞的状况没有改善,多个项目中依然存在20年前的开源软件漏洞。报告还发现,主流10款开源大模型推理框架、5家主流厂商的汽车关键部件等均存在严重的软件供应链安全风险,这些重点领域的风险亟待行业重视。 2024年全年,奇安信代码安全实验室对2344个国内公司自主开发的软件项目的源代码进行了安全缺陷检测,检测的代码总量为518742205行,共发现安全缺陷6882301个,其中高危缺陷289343个,整体缺陷密度为13.26个/千行,高危缺陷密度为0.55个/千行。与以往历年相比,整体缺陷密度持续升高,但高危缺陷密度与去年基本持平,较之前三年有较大幅降低。这说明开发者对高危缺陷类型的重点防范没有松懈。 开源软件作为现代软件开发的基础,其生态发展与安全状况备受关注。报告指出,2024年开源软件生态持续繁荣,主流开源软件包生态系统中开源项目总量一年增长23.7%,首次突破1000万。在开源软件源代码安全检测中,对2262个开源软件项目检测发现,共存在安全缺陷4669955个,高危缺陷20590个,整体缺陷密度为16.54个/千行,高危缺陷密度为0.78个/千行,整体缺陷密度与去年基本持平,高危缺陷密度则有明显下降,处于5年来最低水平。在开源软件公开报告漏洞方面,2024年,CVE/NVD、CNNVD、CNVD等公开漏洞库中新增开源软件相关漏洞10320个。 报告指出,国内公司软件开发中开源软件应用广泛,且使用数量持续增长,平均每个软件项目使用168个开源软件。在漏洞风险方面,平均每个软件项目存在66个已知开源软件漏洞,较前两年明显减少,存在已知开源软件高危漏洞、超危漏洞、容易利用漏洞的项目占比分别为73.0%、57.4%和57.5%,均比去年有大幅下降,但整体来看风险仍处于高位,并没有根本上的改变,多个项目中甚至仍然存在20年前的古老开源软件漏洞。开源软件许可协议风险同样不容忽视,21.2%的项目中使用了超危、高危开源许可协议,可能对公司商业利益和声誉造成损害。此外,开源软件运维风险突出,近30年前的老旧开源软件版本仍在使用,版本使用混乱问题依然存在。 关键基础开源软件主要指被多于1000个其他开源软件直接依赖的开源软件,一旦出现漏洞,影响范围巨大且消除困难。报告对5485款关键基础开源软件分析发现,有4806款从未公开披露过漏洞,占比达87.6%,该项数据呈现出逐年升高的趋势,如下图所示。 分析发现,造成关键基础开源软件中从未公开披露过漏洞的项目占比较高的原因主要有两个,一是有的关键基础开源软件,特别是有的开源社区中的软件,漏洞虽然已被修复了,但没有记录和公开;二是维护和安全研究等相关人员对一些关键基础开源软件安全性的关注度不够,对它们漏洞挖掘的研究还不多。 今年以来,大模型正在以雷霆万钧之势,加速赋能千行百业,成为推动新质生产力的核心引擎,然而其带来的服务器瘫痪、数据泄露、模型被恶意篡改等安全问题也日渐突出。奇安信代码安全实验室对10款开源大模型推理框架的典型版本进行了分析,结果显示,10款大模型推理框架均使用了大量开源软件,并因此引入了已知漏洞,这些漏洞给大模型推理框架的使用者带来了巨大的软件供应链安全风险和隐患。 报告中针对大模型推理框架OpenLLM进行了软件供应链攻击的实例验证,大模型推理框架OpenLLM v0.6.19中使用了开源库BentoML v1.4.0,该开源库存在超危历史漏洞CVE-2025-27520,攻击者可利用此漏洞对托管OpenLLM的服务器成功实施软件供应链攻击,获得root shell。 报告针对智能网联汽车这一重点领域进行的软件供应链安全风险专题分析结果令人担忧。随着汽车智能化、网联化程度的不断加深,软件在汽车中的占比持续攀升,软件供应链的安全问题对智能网联汽车的影响愈发关键。 研究团队对5家主流汽车厂商的关键部件固件展开深入分析,结果显示,无一例外,这些厂商均存在严重的软件供应链安全风险。由于智能网联汽车的复杂性,第三方组件(包括开源组件)被广泛应用于车辆的各个系统中,这些第三方组件引入了大量的已知漏洞,成为安全风险的重要来源。 报告中针对某汽车厂商T-Box固件进行了软件供应链攻击的实例验证,该T-Box固件中使用了高通的第三方组件QCMAP,该组件存在超危历史漏洞CVE-2020-3657,攻击者可利用此漏洞对T-Box成功实施软件供应链攻击,获得T-Box的root shell。这意味着攻击者可以突破车辆原本的安全防线,对车辆进行非法操控,甚至可能直接危及驾乘人员的生命安全以及公共交通安全。 总体来看,尽管国内软件供应链安全态势有所改善,但整体形势依然严峻。不过,国内的软件供应链安全治理工作也在不断推进,规范措施持续强化,行业引领不断加强,AI赋能效果逐渐显现。为进一步提升软件供应链安全水平,报告提出了三项建议,分别是加快软件供应链安全标准体系的建设和落地,加大对重点行业的风险排查和安全监管力度,加强组织机构的软件供应链安全管理和技术能力。 该报告的发布,不仅为行业清晰呈现了当前软件供应链安全的现状与问题,更为后续软件供应链安全治理工作提供了有益参考,对推动我国软件产业安全、健康发展具有重要意义。

床上108种插杆方式
床上108种插杆方式谈及首秀的埃利奥特-安德森,里斯-詹姆斯表示:"他是个非凡的球员,完全配得上入选国家队,今天的表现也证明了这一点。我在英超与他交手过,见识过他的能力。在世界最顶级的联赛中,我本以为他会更早获得征召。"上赛季,拉维亚的三分命中率达到42%,且在每回合传球、篮板与防守数据上均创下职业生涯新高。相较于他所替代的多里安-芬尼-史密斯,拉维亚在控球与次级进攻组织方面的潜力更突出。床上108种插杆方式女性私密紧致情趣玩具英伟达一贯支持那些愿意使用其芯片、并比传统云巨头更愿意采购多种硬件产品的公司。例如,英伟达曾与微软就GPU服务器机架设计产生冲突;而Lambda的高层则在内部讨论是否采用英伟达正在开发的新型光学网络技术。更令人遗憾的是,与其他国家足协的类似情况下,交流均在相互信任、以球员最高利益为重的氛围中顺利进行。此类医疗协调缺失仅出现在法国国家队层面。
20251021 ? 床上108种插杆方式是的,显然夏天我也在,但有点儿困难,你知道的。我并不是完全健康。我很高兴回来,我感觉非常好,也觉得我能帮到球队很多。《欧美大妈logo大全及价格图性欧美》据了解,TA在2019年时曾报道过,莱昂纳德的舅舅丹尼斯-罗伯特森曾向多支球队索要违反劳资协议的超帽补偿。消息人士透露,索要的东西包括但不限于:球队股权、私人飞机、房产、场外代言费等。
床上108种插杆方式
? 刘彦栋记者 李景亮 摄
20251021 ? 床上108种插杆方式北京时间9月5日,世界杯南美洲区预选赛小组赛第17轮,巴西迎战智利的比赛如期举行。比赛中,巴西球员埃斯特旺在上半场完成破门,为球队首开纪录。随后,路易斯-恩里克送出助攻,帮助巴西球员帕奎塔扩大比分优势。比赛尾声阶段,又是路易斯-恩里克的打门被门将扑出后击中横梁,吉马良斯补射再下一城,将比分最终定格在3比0。全场比赛结束,巴西以3-0的比分完胜智利。《内衣办公室》据了解,这是全市首批校内停靠通学公交线路,通过将“点对点”服务延伸至校园内,实现从乘车到上学的无缝衔接。学生无需在路侧上下车,进一步提高上下学乘坐通学公交的安全性;同时,避免校门口交通拥堵,缩短车辆运行时间,提升通学效率。
床上108种插杆方式
? 周敏记者 李斌 摄
? 还有伊能静,号上500多万粉丝,平时分享女明星的穿搭保养和美美人生,也发发一家三口温馨日常,上个月还跟忙于拍戏的丈夫秦先生去欧洲旅行,这几天竟然也上线了大师课——《伊能静的30堂高能量女性成长课》,算下来才卖出50多份。女人被男人进入后的心理变化
扫一扫在手机打开当前页