上海开源信息技术协会工作月报【2025-10（总第 9 期）】

10 月开源动态呈现三大特点：前端框架中立化(React 基金会成立)、芯片架构标准化(RISC-V 获 ISO 认可) 和 AI 模型普惠化(MiniMax、腾讯等开源大模型)。从浏览器引擎到 AI 基础设施，开源正从单一技术向全栈解决方案演进，全球协作与标准建设成为推动开源生态发展的关键力量。

开源安全合规月度报告（安势科技提供）请见文末*

一、协会本月重点工作

1．10 月 8 日下午，协会在上海外滩 FTC 203 会议室召开第 7 次秘书处工作例会，20 余人参会。会议明确协会要坚持开源社区基因，以 Linux、Apache 基金会为目标，聚焦业务能力与组织能力建设。会议还讨论开源干部培养、科普讲师团招募、商业案例征集等事项，同步介绍 GIS 高创会免费展位申请、德塔贝格 AI 数据库权限、开源产业地图编撰及外滩 FTC 开源展示区规划。

2．10 月 28 日，协会发布 《关于征集上海市开源典型实践案例集的通知》，面向全市征集在开源技术应用、社区运营、商业化落地等方面的优秀案例。案例征集聚焦人工智能、云计算、区块链等领域，旨在总结可复制的经验，为行业提供参考。此举与中国互联网协会同期开展的 “开源 +” 典型案例征集形成呼应，体现了协会在推动开源生态标准化和规模化发展中的积极作用。

3．10 月 28 日，协会作为核心成员单位，与北京、浙江、江苏等省市的开源组织共同发起成立云计算开源产业联盟《开源项目首版本评价方法》与《开源商业产品首方案评价方法》技术规范工作组 8。这两个工作组旨在建立开源项目和商业产品的量化评价体系，明确技术原创性、成熟度、商业化价值等核心指标。协会的参与将有助于提升上海在开源标准领域的话语权，推动本土开源项目与国际接轨。

4．10 月 30 日，张国锋带队会员企业参访智元机器人灵渠 OS。探讨开源合作，协同发展。

二、协会重点活动动态

1．10 月 15 日，协会创始人张国锋带队受邀参加上海君悦律师事务所在杭州举办的第二届“星悦”泛公司法研讨会大会，并发表了《开源创新国际合作示范区的概念与实践》主旨报告，并参加由孙明律师主持的《数智大爆发时代下的 AI 合规》圆桌对话，为下一步东方枢纽开源创新国际合作示范区法律服务合规寻求合作，奠定良好的基础。增加协会在开源领域影响力。

2．10 月 25 日，“开源+数字经济”论坛在外滩 FTC 成功举办，共同擘画由开源力量驱动的数字经济新蓝图。聚焦开源基础设施、跨境支付、数字化流通、技术标准与国际互通等前沿议题，探讨开源如何成为数字经济的底层支撑，推动产业协同、规则共建与生态繁荣。

三、成员动态

1．10 月 11 日 作为连续三年斩获“vivo 年度最佳安全业务伙伴”的安势信息，作为 vivo 安全生态中的核心协作方在 2025vivo 开发者大会受邀登台演讲。安势信息安全专家金文会博士联合 vivo 安全工具高级经理宣伟先生共同就《千镜工具智能体重构安全生产力》为题进行了分享。千镜工具智能体是 vivo 推出的端侧安全检测工具与 AI 开发助手的结合体，主要包含端侧安全检测能力、AI 开发辅助功能、跨平台协作能力。

2．10 月 11 日，RT-Thread 睿赛德携手富瀚微 FH8626V300L，双核异构加速，开启超市、收银、仓储、快递等应用场景扫码新体验，不仅提升效率，同事降低了成本。

3．10 月 13 日左右，沐 曦PDE-AI Solution 团队与香港科技大学合作，在两大人工智能顶级会议 NeurIPS2025 与 EMNLP 2025 上发表重要研究成果，涵盖大语言模型（LLM）的多样化解码与高效训练优化方向，展现了中国企业在 AI 基础研究领域的持续创新力。

4．10 月 14 日，沐 曦 成立于 2020 年，专注于全栈 GPU 芯片研发，推出曦思 ®N 系列（智算推理）、曦云 ®C 系列（通用计算）、曦彩 ®G系列（图形渲染）产品，均采用自主 GPU IP、指令集及架构，配套兼容主流生态的 MXMACA® 软件栈，为数字经济和 “双碳” 目标提供高能效算力支撑。2025 年 8 月，其曦云系列与龙蜥社区 Anolis OS 23（基于Linux Kernel 6.6 LTS 深度优化）、Anolis OS 8 完成兼容性测试，功能稳定，覆盖 x86_64、ARM64 等主流架构。双方合作旨在通过开源生态整合，推动龙蜥操作系统成为 AI 基础设施优选平台，强化软硬件协同创新，加速 AI 技术普惠落地。

5．10 月 16 日，”2025 中国人工智能硬件生态大会暨硬件企业赋能国际化合作论坛”在上海举行。RT-Thread睿赛德应邀出席大会，与中国工程院院士、中关村数智人工智能产业联盟、联想集团、七腾机器人等企业齐聚一堂，介绍了企业在该方向的情况，并围绕全球 AI 硬件技术趋势展开了深入探讨。

6．10 月 16 日，由大数据行业权威媒体数据猿与上海大数据联盟联合编制的《2025 中国数据智能产业图谱 2.0 版》正式发布，全景描绘了中国数据智能产业最新市场格局、技术趋势、企业动态。浪潮KaiwuDB（上海沄熹）凭借在“DB+AI”及“Data+AI”领域的技术突破与场景服务能力，连续第二年入选图谱【基础设施-数据库】版块。

7．10 月 17 日，RT-Thread睿赛德应邀出席“1024 资管科技开发者大会”，就“人工智能+”话题，围绕技术研发和产业应用，介绍了企业的产品服务矩阵和对行业未来展望。

8．10 月 17 日，全球领先的开源硬件和开源软件服务商迅龙软件正式发布其面向边缘和端侧 AI 的终极开发板——OrangePi 6 Plus。该开发板以此 芯P1 通用智能处理器为核心驱动力，其强大的异构 AI 算力与丰富接口，为开发者探索各类端侧 AI 创新应用提供坚实支撑。

9．10 月 17 日，润 和 软 件 凭借卓越的创新能力和雄厚的研发投入支撑，成功入选中国电子信息行业联合会发布的“2025 年度软件和信息技术服务竞争力百强企业”，同时跻身江苏省工商联发布的“2025 江苏民营企业研发投入 100 家”榜单，以双重权威认可彰显企业在数字技术创新与民营经济高质量发展中的硬核实力。

10．10 月 18 日，先楫半导体生态日在深举行，RT-Thread睿赛德作为合作伙伴出席了论坛，并分享了开发平台和软件生态。

11．10 月 20 日，在材料科学的发展历程中，研究范式经历了实验观测→理论建模→计算机模拟→大数据挖掘的演进，每一次迭代都加速了新型功能材料的预测与发现。如今，随着 AI 时代的到来，科研人员正不断探索如何借助大语言模型（LLM）、图神经网络（GNN）和扩散模型（Diffusion Model）等前沿算法推动材料研发，AI for Materials 已成为材料科学领域的研究热点。在这一背景下，沐 曦 与飞桨智能材料科学开发套件 PaddleMaterials 携手完成深度适配与联合测试，成功验证多种材料科学智算模型在沐曦 GPU 上的高效运行，充分展现了国产 AI 硬件在材料科学智算中的强大潜力，并彰显了国产 AI 基础框架×智能材料科学×GPU 硬件的蓬勃生机与无限活力。

12．10 月 21 日，“开源生态高质量发展推进大会暨开放原子紫金专区运营总部签约仪式” 在苏州成功举办。本次活动由江苏软件产业人才发展基金会主办，开放原子紫金专区运营服务中心等承办，江苏省开源生态创新联盟等协办，汇聚了来自政府、产业、高校、研究机构与开源社区的逾百位代表。润 和 软 件 作为江苏软件产业人才发展基金会理事长单位以及开放原子紫金专区杰出捐赠人受邀参会，参与并见证紫金专区的多个重要里程碑时刻。

13．10 月 22 日，之江实验室与沐 曦 股 份 正式签署合作协议，共同组建“智算集群联合实验室”，携手推进人工智能算力基础设施创新发展。之江实验室总工程师赵志峰、副主任何水兵，以及沐曦股份联合创始人、CTO 兼首席硬件架构师彭莉等双方代表出席签约仪式。

14．10 月 24 日，润 和 软 件 作为联合攻关成员单位，成功参与科技部2024 年度“智能电网”国家科技重大专项——《云边端协同的全栈国产化电力专用物联操作系统关键技术》之后，近日，润和软件旗下聚焦数字能源的子公司湖南润启数智科技有限公司紧紧抓住市场契机，成功参与了国网湖南省电力有限公司重大科技项目——《面向电网-用户灵活互动、安全智能的物联感知与智能协同关键技术研究及应用》。国网湖南公司是国家电网体系首个提出基于开源鸿蒙技术、选择“面向用户侧异构设备协同互动的物联操作系统”作为主攻方向来开展重大科技立项的省级公司。该项目由国内领先企业和 985 高校联合攻关，从如何灵活智能地实现供需协同入手，找准支撑需求侧快速响应的边端异构设备的数据协议转换这个小切口，定位准、意义大。

15．10 月 24 日，RT-Thread Studio 现已全面适配兆易创新 GD32H7系列芯片，睿 赛 德 支持基于该系列芯片的工程创建，为智能汽车、工业边缘、能源电力、AI 加速等高性能应用场景提供坚实的技术支撑与开发便利。

16．10 月 27 日，RT-Thread睿赛德与瑞萨电子携手推出全新的 AI 硬件产品 RA8P1 Titan Board。这为工程师提供了 AI 领域灵活、全面的开发平台，同时，该平台也是 RT-Thread 睿赛德首个开放支持 RPMsg-Lite 双核通信方案的硬件产品。

17．10 月 28 日，由中国通信标准化协会主办、中国信息通信研究院承办的“2025 OSCAR 开源产业大会”在京召开。会议期间，中国信通院正式发布 2025 年度 OSCAR“开源+”典型案例征集结果。由浪 潮KaiwuDB（上海沄熹）共建并运营的开源数据库项目 KWDB 在经过初选和答辩等多环节严苛审核后，凭借其开放、共享、协作的开源精神，优秀的开源技术创新成果，以及突出的社区生态建设能力，连续第二年荣获 “OSCAR 开源项目及社区”称号。

18．10 月 28 日，由中国通信标准化协会（CCSA）主办、中国信息通信研究院（CAICT）承办的 2025 OSCAR 开源产业大会在京举行。全球领先的嵌入式操作系统 RT-Thread睿赛德 ，凭借在开源模式与商业成功之间取得的卓越成就与最佳实践，荣膺大会颁发的 “OSCAR 开源+商业化企业” 称号。

19．10 月 28 日，沐曦股份携手上海电信天翼云能力运营中心顺利完成了首期 GPU 生态专家的认证培训，并向结业学员颁发相关认证证书。本次培训为期两天，参与培训的近 20 位学员分别来自于云能力运营中心产品运营中心、运行保障中心及应用迁移中心。

20．10 月 30 日，在盖世汽车主办的 2025 第七届“金辑奖”颁奖盛典上，全球领先的嵌入式操作系统平台 R T – T h r e a d睿 赛 德 ，凭借其自主创新的“程翧整车基础软件 OS”，成功斩获 “最佳技术实践应用奖”。该奖项旨在嘉奖将创新成果成功转化为规模化量产能力，并以稳定交付，赢得市场认可的技术驱动型企业。

21．10 月 31 日，RT-Thread睿赛德推出基于 NXP S32K344 的 ECU 快速原型开发平台——“RT-Thread 程翧 S32K344 快速原型开发平台”。这是首个深度内置 RT-Thread 睿赛德程翧车控软件平台的快速原型开发平台，提供从芯片到应用层的一站式开发体验，旨在彻底革新开发流程，让工程师专注于创新本身，快速将想法转化为可靠的量产产品。

22．10 月底，RT-Thread睿赛德巡回培训在北京、杭州、深圳、上海、成都次第拉开序幕，围绕人宠监测方案、多核通讯实践、信息安全开发实战、智能终端开发等方向展开培训，数百名开发者参加了培训。

23．10 月 31 日，KWDB社区正式公布“第三届开放原子大赛 – KWDB核心贡献挑战赛”决赛晋级名单。开放原子大赛由开放原子开源基金会主办，是面向开源领域的顶尖技术赛事。作为本届大赛首发赛项之一，KWDB核心贡献挑战赛特设 30 万元赛项奖金，聚焦物联网场景下数据写入与导入这一核心课题，以期联合开源社区的优秀开发者共同攻关、协同创新，推动数据库作为基础软件在技术演进上实现新突破。初赛阶段共吸引 36支团队报名，最终累计收到 21 份有效参赛作品。经专家评审团综合评定，10 支优秀团队凭借突出表现脱颖而出，成功晋级决赛阶段，其中包含企业组队、高校组队及个人组队。决赛将于 2025 开放原子开发者大会期间举行。

四、国内外开源组织重点动态

1．10 月 8 日 CNCF 宣布 Knative 正式毕业，标志其已成为Kubernetes 生态中成熟、可大规模生产部署的无服务器与事件驱动平台。Knative 将进一步聚焦桥接传统系统与扩展 AI 及云原生集成，推动Serverless 技术在企业级场景的落地 cncf.io。

2．10 月 9 日工业和信息化部、国家标准化管理委员会联合印发《云计算综合标准化体系建设指南 (2025 版)》，提出到 2027 年新制定云计算国家标准和行业标准 30 项以上，首次将 “人工智能即服务” 和 “数据即服务” 纳入标准体系，规范生成式 AI 云服务、AI 云服务平台等技术要求，支撑数字经济与新质生产力发展。

3．10 月 13 日蚂蚁集团宣布其百灵大模型迎来重大突破 —— 万亿参数思考模型 Ring-1T 正式发布并全面开源。该模型采用 MoE 架构与Scaling Law 技术，实现数学推理能力对标国际数学奥林匹克（IMO）银牌水平，同时开源技术报告《Ling 2.0 Technical Report》披露了从16B 到 1T 参数模型的训练配方，推动 AI 开源生态技术共享。

4．10 月 14 日浙江开源鸿蒙生态发展大会在温州召开，会议围绕开源鸿蒙与产业融合路径展开深度探讨。浙大传媒与国际文化学院常务副院长方兴东指出，开源鸿蒙凭借分布式架构与开源特性，正打破设备与产业壁垒，成为 “万物智联” 的核心纽带，未来将推动数字经济从 “单点创新” 迈向 “系统协同”。

5．10 月 15 日 Linux 基金会宣布成立 React 基金会，由 Meta 贡献并获行业领袖支持，旨在为 React、React Native 及相关项目提供中立、开放的治理框架，保障这一全球最受欢迎前端框架的长期可持续发展Linux Foundation。

6．10 月 15-17 日第二十七届中国国际软件博览会在郑州举办，会议以 “开源构筑新生态，软件智造新未来” 为主题，围绕 “AI 重塑软件”“工业软件创新发展”“开源鸿蒙生态体系建设” 等议题展开深度探讨，系统展示我国软件产业从底层技术突破到行业深度融合的自主创新全链条 openKylin。

7．10 月 16 日开源鸿蒙项目管理委员会（PMC）正式发布《开源鸿蒙社区版本生命周期管理规划（2025Q3 版）》，明确开源鸿蒙 6.1 和 8.1版本为 LTS（长期支持）建议版本，规范版本发布流程与维护标准，为开发者提供清晰的技术支持周期预期。

8．10 月 21 日开源生态高质量发展推进大会暨开放原子紫金专区运营总部签约仪式在苏州举行，标志着全国首个省级开源社区正式落地。三方签约明确三年发展规划：建成开源基础设施，孵化超 50 个优质开源项目、培育 5 个标杆开源明星项目，创新构建 “政产学研用金” 协同体系，加速开源项目商业化落地。

9．10 月 22-23 日 RISC-V 北美峰会在圣克拉拉召开，英伟达宣布将为 RISC-V 指令集架构（ISA）提供 CUDA 平台支持，推动 RISC-V 在高性能计算领域的应用。峰会还聚焦 RISC-V AI 指令集标准化、开源硬件实现及软件栈优化，加速新兴架构的生态整合 RISC-V International。

10．10 月 23-25 日在哈尔滨举办的 CNCC2025 上，由麒麟软件、国防科技大学与开放原子开源基金会联合申报的 “开放麒麟 (openKylin) 操作系统及开源社区” 项目，荣获 2025 年度 “CCF 科技成果奖” 科技进步特等奖，表彰其在智能桌面操作系统研发与开源生态建设中的突出贡献。

11．10 月 26 日 RISC-V 国际基金会在北美峰会上揭晓 2025 年度BoD Award，希姆计算高级研发总监范福杰博士因在 RISC-V AI 指令集制定、开源硬件实现及软件栈方面的开创性贡献，荣获 “SoftwareContributor Award”，成为推动 RISC-V AI 生态发展的重要力量。

12．10 月 28 日 2025 OSCAR 开源产业大会在北京举行，中国信通院总工程师魏然指出，我国开源产业呈现供给端 “量质齐升”、需求端“融合应用”、生态端 “标准引领” 三大特征，当前 AI 开源主战场已转向 Agent 领域。同日，开放原子开源基金会携手 CSDN 推出新一代“开源 + AI”一体化平台 AtomGit，整合模型、算力、数据资源，推动AI 开源技术从研发到产业落地的全链条协同数字中国建设峰会。

13．10 月 29 日 Eclipse 基金会宣布其开源项目 Theia AI 荣获2025 CODiE 奖 “最佳开源开发工具”。Theia AI 是一个开放框架，允许开发者灵活集成云、本地或自托管大模型，实现 AI 辅助代码编辑、定制化用户界面等功能，推动 AI 原生开发工具的创新与普及newsroom.eclipse.org。

五、开源产业项目介绍

1．Apache DolphinScheduler 作为由中国开发者发起并捐赠给 Apache 软件基金会的顶级开源项目，是数据工作流调度领域的核心组件，以开源模式推动了该技术的标准化与普及，已在金融、制造、互联网等多行业广泛落地。它致力于解决大数据时代传统脚本调度与人工管理在自动化、可维护性、扩展性上的局限，核心目标是为企业提供高可靠、高性能、易扩展的分布式可视化工作流任务调度系统，助力数据任务的高效编排、统一管理与智能运维，支撑 “数据驱动” 业务战略落地。该项目 2019年捐赠、2021 年成为 Apache 顶级项目，核心内容围绕 “面向数据任务编排”，包括可视化 DAG 工作流编排、丰富任务类型支持、灵活调度控制、高可用架构、安全与协作支持、完善运维体系及云原生与 DevOps 适配等。技术创新显著：可视化 DAG 编排通过拖拽式界面降低门槛，如长安汽车借此解决任务依赖混乱问题；分布式 Master/Worker 主从架构结合故障转移与负载均衡保障高可用，Zoom 依托其支撑数亿用户数据处理；插件化机制支持数十种内置任务及自定义扩展，网易邮箱用其实现业务统一调度；用户 – 角色 – 租户三层模型与项目级权限隔离满足多团队协作安全需求，助力长安汽车多业务线独立管理；云原生与 DevOps 融合支持Kubernetes 部署及动态扩展，提升开发迭代效率，充分彰显中国开源成果的全球影响力。

2．北京白鲸开源科技有限公司成立于 2021 年 6 月，由 Apache 软件基金会成员及顶尖数据工程专家创办，核心团队源自 IBM、阿里等头部企业，以 “开源驱动 DataOps 革新，打造下一代智能数据平台” 为愿景，80% 员工为 Apache 项目 Committer，通过 “开源 + 商业” 双轮驱动模式服务超 6000 家金融、电信等领域企业客户。公司深度参与Apache DolphinScheduler 和 Apache SeaTunnel 两大顶级项目开发治理，为前者贡献分布式 DAG 工作流调度系统（被 3000 多家企业应用），为后者完善 200 + 数据源接入及云原生功能，助力其在 Shopee 等头部企业落地；核心产品体系以开源为根基，自研商业化一站式平台 WhaleStudio，融合调度与数据集成组件，支持多云部署及数据全生命周期管理。技术创新上，WhaleStudio 通过多云部署、数据血缘分析等功能使金融客户效率提升 40% 以上，多项自主研发专利（如插件隔离机制）构建技术壁垒；同时实现 DataOps 全流程赋能，结合低代码特性降低开发门槛，使企业数据团队协作效率提升 30% 以上，加速数据资产流动。

3．Excelize 作为一款用于操作 Excel 电子表格办公文档的开源基础库，凭借强大功能、广泛兼容性与活跃社区生态在开源领域占据重要地位，为全球开发者处理电子表格文档提供高效解决方案。它致力于打造免费、开源且跨平台的 Excel 处理工具，解决传统开源库处理 Excel 文档时的 “样式错乱”“内容丢失”“文档损坏” 等问题，推动电子表格自动化处理技术普及，满足报表平台、云计算、边缘计算等场景的高效处理需求，并促进全球开发者社区协作创新。该项目基于 ECMA-376、ISO/IEC29500 国际标准开发，支持 XLSX、XLSM、XLTM、XLTX 等多种文档格式，能兼容带有样式、图片、透视表等复杂组件的文档，提供流式读写 API处理大规模数据，无需依赖 Office 应用程序即可在 Linux、Windows、macOS 及嵌入式操作系统运行，还支持 Python（PyPI 包 excelize）、TypeScript/JavaScript（NPM 包 excelize-wasm）等跨语言使用；截至2025 年 7 月，其在 GitHub 拥有 19.3k 星标，吸引超 50 个国家和地区的 1000 多名贡献者参与，其中 260 余人参与代码贡献。技术创新上，它通过高保真编辑突破兼容性痛点，跨平台架构打破运行限制，流式读写API 提升大规模数据处理效率，跨语言支持体系降低不同技术栈开发者使用门槛，进一步强化了其行业影响力。

六、开源安全合规月度报告（安势科技提供）

2025 年 10 月（9 月 30-10 月 30 日），安势清源 SCA 社区共监测并推送 118 条安全情报，覆盖物联网设备、工业控制系统、云服务平台、开发框架及前端组件等多类关键资产，涵盖漏洞提早感知、热点 CVE 及供应链投毒三大核心场景，为企业防御提供精准风险指引。

其中，CVE 未收录高危漏洞提早感知情报 32 条，涉及 libplist（用于处理 Apple Property List（plist）文件的开源库）、Jupyter Server（交互式计算服务器）、xRPC（Java RPC 框架）、Gemma 计算器（AI 模型工具）、ROS navigation2（机器人导航组件）、Litellm（LLM 集成库）等 28 类组件；漏洞类型集中在反序列化（CWE-502）、代码注入（CWE-94）、 路径遍 历（ CWE-22）、 原型污 染（ CWE-1321 ）、 空指针 解引用（CWE-476），81%可远程利用，部分无需用户交互（如 xRPC 反序列化远程代码执行 、service-streamer pickle 反 序 列 化 ） ， 典 型 漏 洞 包 括Gemma 计算器代码注入、n8n-mcp 多漏洞组合（命令注入+SSRF）等，可直接获取系统控制权或泄露敏感数据。精选 CVE 热点漏洞 38 条，全部为超危级别，CVSS 评分 10.0 分 16 个、9.9 分 4 个 、 9.8 分 16 个 、 9.6 分 1 个 、 9.4 分 1 个 ； 覆盖 MikroTikRouterOS（ WebFig 远程 代码执 行，CVE-2025-61481）、 Azure Compute Gallery（SSRF 权限提升，CVE-2025-59503）、Esri ArcGIS Server（SQL注入，CVE-2025-57870）、BLU-IC 系列工业控制器（命令执行+初始密码缺失，CVE-2025-12275/CVE-2025-12285）、Oracle Financial Services（HTTP 未授权访问，CVE-2025-53037）等关键资产；漏洞类型以命令注入（CWE-77）、任意文件上传（CWE-434）、SQL 注入（CWE-89）、认证绕过（CWE-306）为主，已公开的 PoC（如 MikroTik WebFig 漏洞、VasionPrint Docker 认证绕过），利用门槛低，可导致设备完全接管、核心数据泄露（如 TurboTenant 支付数据泄露）或内网横向渗透。

此外，持续披露了 48 起供应链投毒事件，98%来自 npm 官方仓库（47起 ） ， 仅 1 起 来 自 pypi 仓 库 （ bioql 3.0.2 版 本 ） ； 涉 及 ect- 系 列（ect-987654）、gear-系列（gear-js-util）、deere-ui-系列（5 个组件）、v0-系列（6 个组件）等 12 类组件系列；恶意行为包括与恶意域名通信（占比 75%）、执行隐藏恶意命令（占比 62%）、Base64 代码混淆（占比 15%）；投毒版本多为非常规版本（如 1337.1.0、97.1.0），发布时间集中在 10 月 17-27 日，主要影响前端开发、数据分析、工业软件集成等场景的项目供应链完整性，部分组件（如 gear-js-util）可通过依赖传递污染下游应用。

详细情报请见网址：https://mp.weixin.qq.com/s/8qdyOpbh4Qk5LQ_GoSMRwA