由于全球数字供应链安全监管政策的不断强化，供应链安全作为一个独立的市场领域正在快速发展。GMI报告指出2022-2023年的市场规模约为21亿美元，而另有报告估计2024年市场规模为25.2亿美元。

尽管各家报告的具体数字有所不同，但增长趋势一致：预计未来几年复合年增长率（CAGR）在10%至12.6%之间。基于这一增长率，2030年左右，全球市场规模预计将达到49亿至51.4亿美元。这一增长速度与广泛的数字化转型市场和物联网（IoT）市场的快速扩张相呼应，也反映了数字化经济转型对供应链安全依赖性的增强。

在国内，安全牛调研结果显示：2023年软件供应链安全市场表现整体向好，国内市场规模接近10亿元人民币，增长率在20%左右。这一营收数据与2022年恒州诚思关于中国软件供应链安全市场规模增速预测的数据（2022年178百万美元，增长29%）相比保守一些，但大体相近。

2024年，由于受大经济环境影响，企业营收增速整体趋缓。除个别规模较小的企业，由于本身体量较小营收增长较快外，多数企业营收的平均增速在15%左右，相比2023年调研的20%有所下降。营收增长点，主要集中在SCA（软件成分分析）、合规检测工具、管理平台、AI智能审计类产品中。

数字供应链是数字经济发展的“生命线”，其安全关系着数字经济建设的百年大计。未来三年，安全牛预计：数字供应链安全市场的增长节奏将呈现周期性震荡或阶段性起伏，但总体向好的发展态势。

在国内，供应链安全市场增长主要是受供应链安全态势升级、政策监管与合规压力、地缘政治与技术封锁等因素影响。整体上，市场需求表现有以下几个方面：

合规、供应链攻击驱动监管加强，由监管推动市场需求进一步增长，是当前供应链市场发展的重要特征。

监管部门以关键基础设施供应链安全为核心，逐步完善《网络安全审查办法》，并推进落实供应链安全审查机制，将软件供应链安全等相关内容纳入更全面的网络安全监管体系中进行考量。受此影响，企业供应链安全意识逐渐增强，对供应链合规和透明度需求提升。企业不仅关注自研的代码安全，也更关注外包商风险，外采软件及第三方引入的数字制品及其组件的安全性和可管理性。

受黎巴嫩寻呼机爆炸案的影响，固件安全的关注程度和检测需求呈现了显著提升趋势。特别是军工、汽车制造企业在这方面的表现更为突出，其他行业，如能源、医疗等领域的固件安全意识也有明显提升。

随着供应链和勒索复合攻击导致企业敏感数据在供应链上游泄露事件的增多，企业意识到很多数据泄露、篡改或滥用问题都是从代码及代码开发过程中引入的，并不能完全用企业级防护手段彻底解决。企业对代码及代码开发过程中的数据安全性要求开始增强，以试图收敛数据暴露面，缓解供应链和勒索等复合攻击影响。

由于AI落地应用的重大突破，用户对AI赋能网络安全寄予厚望，主动提出大模型和用AI安全助手赋能网络安全建设的相关需求。

从行业需求来看，供应链安全的用户早期主要集中在金融、运营商、政府和能源等行业大型国央企。随着监管、供应链合规、测评检测工作的开展，汽车、能源等行业的供应链安全需求逐渐进入了快速增长期。当前，不同行业供应链安全监管力度、建设进度各不相同，需求差异也较明显。

金融行业作为国家经济命脉，对软件自主可控性有极高的要求，供应链安全工作开展也较早。应用软件多由自身科技公司负责开发，前期大规模采购过安全测试工具，安全开发能力相对完善，目前基础工具需求相对平缓，多以二次采购、AI能力增强工具为主。

运营商是国家信息基础设施的重要支撑，在数字供应链中，既是数字基础设施的建设者也是服务提供者。供应链安全早已明确被列入了国家《网络安全法》《关键基础设施安全条例》和《数据安全法》的审查范畴。作为建设者，运营商对软、硬件采购都有严格供应商安全合规审查机制，尤其是：核心网络设备安全、软件威胁检查。作为服务商提供者，随着云服务、数据服务业务的扩展，用户数据存储、处理需符合数据本地化规定，跨境数据流动受到限制，其数据全生命周期安全管理需求不断增加。总体来看，运营商的供应链安全，包括：网络设备硬件，也涉及软件、数据、服务多个方面。随着数字化建设和网络安全审查的持续深入，运营商一方面采取供应商多元化策略，减少对单一供应商依赖；一方面积极引进供应链安全检测的创新技术，提升基础设施自身的安全能力。

汽车智能化和欧盟R155法规（《联合国车辆网联和自动驾驶软件安全法规》）强制实施，是近几年汽车领域供应链安全需求快速增长的重要驱动因素。由于智能汽车对数字化系统的依赖，车辆的安全隐患及个人隐私安全问题增多。欧盟自2024年7月起，要求所有车型强制遵循R155法规，并适用于58成员国的所有64个国家。法规详细规定了汽车信息安全管理体系要求、车辆信息安全一般要求、车辆信息安全技术要求、审核评估及测试验证方法等内容。对汽车生产企业而言：供应链中任一环节未能通过法规审核，可能导致车型无法进入欧盟市场，甚至面临召回风险。此外，法规的实施还要求企业建立快速响应机制，对供应链中的安全漏洞进行实时监测与修复，这对企业的数字化管理能力和应急处置能力也提出了更高要求。

受“两部委”安全合规监管影响，能源行业合规要求提升，市场需求表现明显活跃。监管措施主要聚焦于关键信息基础设施安全、数据安全治理，以及供应链国产化替代等方面，旨在提升国家关键行业的安全韧性。对电力、石油、天然气等能源行业企业而言，一方面要接受严格的供应链安全合规审查，另一方面要加速推进国产化替代进程。整个行业面临着信息安全投入增加和本土供应链重构两重压力，网络安全及国内能源装备、工控安全、工业软件企业迎来发展机遇，市场份额扩大。

安全牛通过厂商侧调研发现：当前关注数字供应链安全的厂商以开发安全和软件供应链安全厂商为主，厂商范围相比往年变化不大。这也说明：国内数字供应链安全能力是从开发安全向上构建的。过程中，厂商在努力通过创新发现和创新应用使传统开发安全技术与网络安全和数据安全需求融合。

（一）厂商研发重心和技术方案的变化。随着传统代码安全测试技术的成熟，基础型工具市场竞争开始白炽化。厂商安全研究焦点逐渐从传统代码审计、软件加固技术向固件安全、镜像安全、数据安全、AI代码安全等新型数字制品类型领域扩展。应用场景方面，也在从传统开发安全向供应商管理、制品风险管理、数据安全等场景化方向转变，这对厂商工具融合和平台化能力也提出一些更高要求。

AI大模型作为一项变革性技术，在多个环节显著提升了供应链安全的治理水平，已经得到了行业共识。目前，多数厂商都在积极采用AI赋能基础型安全检测技术，提升SAST、SCA、IAST等工具的检测精度、检测效率以及代码修复闭环能力；同时，也在积极提供创新型方案，如，供应链安全检测工具箱、供应链威胁情报、智能开发助手、智能审计助手等新型手段提升供应链风险检测和响应能力。

（二）产品方面呈现有新的产品形态。产品方面，市场上呈现了检测、管理、服务三类典型产品形态。其中，基础应用安全检测工具市场已趋于饱和，市场正朝着工具集成和平台化方向发展；平台能力厂商试图整合测试工具、供应商风险管理、第三方风险管理功能，以提供更全面的供应链风险管理产品；此外，为迎合供应链安全监管需求，供应链安全合规检查工具和服务也逐渐成为厂商产品规划的重要发力点。

（三）数据安全的“静默革命”和固件安全的“攻坚困境”。在数据安全检测方面，调研发现，供应链安全厂商，特别是代码安全测试工具厂商，在努力研究分解不同的数据安全风险类型，试图将数据安全检测能力迭代到代码安全测试工具中，为“数据安全前移”提供检测能力，目前已经实现了代码敏感数据检测。底层数据安全能力提升，即源自代码安全厂商对风险的敏锐洞察，也是代码安全厂商自发的一种责任感。其背后的努力，经常是“掷地无声”但“影响深远”。

固件安全领域则呈现“高关注与低效能”的矛盾现状。尽管国家战略层面将固件安全纳入关键信息基础设施防护重点，且用户侧需求持续攀升，但调研表明，受制于无源代码支撑、反汇编技术壁垒高、组件供应链溯源难等结构性瓶颈，当前主流固件安全检测工具仍面临自动化水平不足、漏洞挖掘效率低下的现实困境。部分厂商尝试通过AI 驱动的二进制代码分析、跨架构漏洞特征匹配等创新技术突破局限，但距形成规模化应用的成熟方案仍有较长路径，亟待行业标准统一与产学研用协同攻关。