2025-06-11 17:22 北京
《数字供应链安全与风险管理技术应用指南(2025版)》现正式发布
随着软件和数智化技术的快速发展,以传统软件、硬件为主的信息化设备形态开始向数字化、多元化方向发展。同时,由于数字制品开发的分工、集成以及第三方供应商的不断介入,数字供应链的生态系统越来越复杂,产业链、创新链上的风险也接踵而至,开源风险、开发缺陷、软件供应链攻击等问题不断涌现。因此,伴随着数字资产在各个领域的部署和应用的深入,数字供应链风险蔓延到了整个数字空间,并已贯穿了数字资产的整个生命周期。
实现数字资产全生命周期的风险管理,是企业风险管理者的终极目标。无论是主张交付为核心的软件供应链安全,还是传统IT风险管理的CISO,都应适应并紧跟这一融合趋势,适应技术变革。在此背景下,安全牛提出了“数字供应链安全”这一理念,并启动了《数字供应链安全技术应用指南(2025版)》报告研究工作。
本报告基于用户视角,从数字供应链当前的国际环境、网络现状、风险态势入手,通过建立合理的风险框架对其安全风险特点进行了细致的问题分析和方法梳理。为帮助CISO应对企业日益严峻的各类数字供应链风险问题,本报告结合国际通行方法论,结合国内实际情况,给出了适宜的安全管理参考框架,以帮助企业实现供应链安全从“被动防御”向“主动治理”的升级。同时,本报告在产业研究的基础上,对当前技术体系、产业现状、典型应用场景和厂商创新能力进行了深入分析和研究,并为企业落地数字供应链安全提供了最佳参考实践。
本报告内容包括了:概念演进、风险分析、安全框架与关键技术、业务场景分析、产业分析、建设挑战与建议、最佳实践、未来趋势等章节。
6月11日,《数字供应链安全技术应用指南(2025版》报告正式发布。
关键发现
1
结合系统脆弱性、外部威胁、国际环境、政策监管维度来看,当前数字供应链安全正在由传统的技术问题演化为战略性、系统性的全球治理难题,整体发展趋势呈现出高度复杂化、系统化和国际化的严峻态势。
2
从数字供应链生态环境来看,业务环境、组织环境和国际环境是数字供应链安全的三个重要环境因素。其中,业务环境风险与业务生产活动中的工具和流程密切相关;组织环境风险与组织内部的人、网络系统安全相关;国际环境对供应链系统的风险通常会表现为供应链攻击和组织合规类风险。这些环境因素在数字制品供应活动中相互交织、层层传导。
3
数字供应链自身的结构决定数字供应链风险具有类型复杂、影响范围广、扩散速度快、隐蔽性强等特点。但对企业而言,数字供应链中的资产、威胁、脆弱性的类别差异较大,供应链风险管理工作要结合自己行业特点、制品特点进行具体风险识别。
4
从中国、美国及欧盟在数字供应链安全治理方面所采取的举措中,我们发现:不同国家数字供应链安全治理的目标和方式存在诸多的差异,但也有一些共同点值得关注。共同点体现为:法规和标准是当前各国开展数字供应链安全治理的主要驱动因素之一;监管政策以制品安全和网络安全为抓手,加速向细分领域延伸;追求制品的透明性与可追溯性是各国数字供应链治理的共同目标。
5
数字供应链风险管理远超出了单个企业能力管辖的范畴。对企业而言,数字供应链风险管理八重挑战:暴露面广与风险不可逆、软硬件融合检测技术挑战、供应商信任管理挑战、安全与业务矛盾、增量风险识别难、风险感知和响应挑战、风险隐蔽与责任溯源难、合规与法规压力挑战。
6
技术体系:当前构建数字供应链安全的核心能力可分为知识库和情报预警、软件制品安全检测与防御、数据安全检测、风险可视化与评估、AI增强技术及供应商风险管理6类。其中,新兴及复合型技术对数字供应链安全能力提升起着更积极的推动作用。数字供应链安全的技术体系,整体呈现为“以基础检测技术为底层支撑,复合型、创新型技术为上层驱动”的典型特征。
7
受当前大经济环境影响,企业营收增速整体趋缓。调研显示:除个别规模较小的企业,由于本身体量较小营收增长较快外,多数企业营收增速平均在15%左右,相比2023年调研的20%有所下降。市场营收增长点,主要集中在SCA、合规检测工具、管理平台、AI智能审计类产品中。
8
供应链安全的行业用户早期主要集中在金融、运营商、政府和能源等大型国央企。随着监管、供应链合规、测评检测工作的开展,汽车、能源等行业的供应链安全需求逐渐进入了快速增长期。当前,行业供应链安全监管力度、建设进度各不相同,需求差异也较明显。
9
在厂商能力方面,调研显示:当前关注数字供应链安全的厂商以开发安全和软件供应链安全厂商为主,厂商范围相比往年变化不大,说明国内数字供应链安全能力是从开发安全向上构建的。过程中,厂商在努力通过创新发现和创新应用使传统开发安全技术与网络安全和数据安全需求融合。
安全框架与技术
数字供应链安全(DSCS)是指通过管理、流程和技术手段识别、评估、预防数字制品全生命周期中安全风险的一类活动。其保护对象覆盖了数字化设备、应用软件、交易数据、网络服务等不同数字化产品类型,既关注最终产品,也关注构成产品的各个组件,以及这些组件到达目的地的过程。数字供应链安全目标是提升数字制品及其全生命周期的“安全性”“可控性”“可信性”,增强网络安全供应链风险管理(C-SCRM)能力。
安全框架
基于国际风险管理实践,安全牛结合国内供应链安全厂商的能力,在2024版软件供应链安全研究的基础上,绘制了数字供应链安全框架。
本框架整体由管理、技术和服务三部分组成。三者的独立运作与深度协同,覆盖了制品本身、业务流程和组织管理相关的风险内容,可以帮助企业实现供应链安全从“被动防御”向“主动治理”升级。
管理体系是围绕数字供应链安全,从战略、流程、规范等层面构建管理要求,为技术和服务提供“体系保障”。
技术支撑是运用各类技术手段和工具,对数字供应链风险进行识别、评估、监测,并采取响应和预防措施的技术集合,为服务与管理提供工具和手段。
服务保障为数字供应链安全建设,提供人才、技术、操作方面专业服务,是推动技术应用与管理落地“软保障”。
数字供应链安全是个复杂的系统化问题。企业在实施过程中,一方面要依据风险管理需求进行针对性的裁剪和扩展;另一方面,要考虑将数字供应链风险评估结果纳入企业整体网络安全风险管理体系,以形成企业风险管理的整体视图。
2. 核心能力与关键技术
基于研究和调研,安全牛将当前构建数字供应链安全的核心能力分为:知识库和情报预警、软件制品安全检测与防御、数据安全检测、风险可视化与评估、AI增强技术、供应商风险管理6大类。其中,新兴及复合型技术对数字供应链安全能力提升起着更为积极的推动作用,如:供应链情报、SCA、SBOM合规检查、ASPM、AI技术增强。数字供应链安全的技术体系,整体呈现着“基础检测技术为底层支撑,复合型、创新型技术为上层驱动”的典型特征。
从技术成熟度来看,在Gartner 2024年应用程序安全技术成熟度曲线中,SSCS、ASPM和AI增强被评估为是“变革型”技术,并认为这些技术将会在2~5年内快速进入成熟期。建议企业优先布局这类技术。
行业创新能力表现
据安全牛观察,当前关注数字供应链安全的厂商以开发安全和软件供应链安全厂商为主,厂商范围相比往年变化不大。这说明国内数字供应链安全能力是从开发安全向上构建的。过程中,厂商在努力通过创新发现和创新应用使传统开发安全技术与网络安全和数据安全需求融合。厂商的创新能力体现在多个方向,以下对本次调研中代表性厂商的创新表现进行介绍(厂商展现顺序不分先后)。
悬镜安全
围绕代码疫苗、SCA、AI赋能进行创新
悬镜安全基于前沿技术和创新理念,围绕代码疫苗、SCA、AI 智能赋能技术实现了多项技术创新和场景化应用创新。具体包括:
全球独有的多模态软件成分分析(SCA)技术;
首创专利级“AI智能代码疫苗技术”及第四代DevSecOps数字供应链安全管理体系;
AI驱动的全球首个数字供应链安全情报预警服务;
AI大模型智能代码分析技术;
发布中国首个数字供应链SBOM格式DSDX,弥补在数字供应链安全治理领域同美国的技术差距。
孝道科技
二进制开源安全成分分析研究创新
对各种二进制格式交付的信创软件进行二进制函数级开源软件智能安全分析,是符合当前国情的一项关键技术课题。孝道科技在该领域的新研究进展,具体包括:
实现了二进制文件格式包解析;
实现了不同编译环境条件场景下二进制文件函数的相似度判断;
实现基于二进制多维度特征的开源组件识别算法;
攻克了二进制文件内开源软件漏洞的处置修复问题。
云起无垠
AI与模糊测试融合实践创新
模糊测试是一项对测试实例和自动化依赖非常高的测试能力。云起无垠将模糊测试与人工智能、遗传算法深度融合,革新传统测试用例生成、测试覆盖及定向模糊测试模块。在智能模型测试的基础上,进一步打造AI安全智能体平台,实现了自动化挖掘0day安全漏洞,支持安全知识问答、教育培训、安全文档编制、最新安全论文分析、漏洞智能分析、安全工具的智能调用和威胁情报的智能检测等功能。
该方案创新点表现有以下两个方面:
智能模糊测试的技术融合创新:实现智能化安全检测与漏洞自动修复的闭环;
AI安全智能体平台的生态集成创新:显著提升渗透测试与攻防演练的自动化水平。
比瓴科技
供应链风险可视化应用创新
比瓴科技的持续应用安全平台(ASPM)瓴域,是一款以业务视角提供供应链安全可视化的工具,具有较强的第三方工具对接能力。在此基础上,瓴域通过跨工具的漏洞数据关联分析能力,对AST工具的漏洞数据汇聚,利用平台提供的多个漏洞分析模型,实现对漏洞的可达性、可利用性的自动化分析,并对漏洞进行跨工具的去重,同时对部分漏洞提供自动化POC验证的能力,帮助企业聚焦关键漏洞。
产品创新点主要表现有以下两个方面:
业务视角的安全管理创新:突破传统工具仅聚焦技术层面的局限;
跨工具协同分析与自动化能力创新:打破了传统行业内各为自据的竞争格局。
思客云
AI大模型生态软件安全检测应用创新
找八哥SCA-Ai 是思客云在AI落地应用大背景下,与时俱进推出的AI大模型生态软件安全检测方案。产品集成了找八哥SAST和SCA工具,以及思客云深度扫描的技术优势,能专门满足复杂AI容器镜像包对深度成分分析和检测的需求;另一方面,将这些能力与MLOps工具深度融合,在AI大模型项目开发和部署的全生命周期中实现全面的、自动化的安全检测,并在整个开发过程中为开发团队提供持续监控和自动化修复建议。找八哥SCA-Ai帮助AI大模型落地企业识别和缓解AI供应链攻击风险,确保AI大模型部署和应用的环境安全。
找八哥SCA-Ai方案的创新点:
深度检测技术与AI场景融合创新:方案迎合了AI大模型落地应用安全刚需,填补了AI生态下软件安全检测的特定场景空白。
MLOps全生命周期自动化安全闭环创新:方案为MLOps开发环境构建了从风险识别到修复的完整闭环,贯穿AI大模型项目开发、部署的全开发周期,有效缓解了AI供应链攻击风险。
最佳实践案例
悬镜安全:携手保险资管巨头,共筑保险行业软件供应链安全治理体系
项目背景
某保险企业是国内知名的综合性保险集团,业务涵盖人寿保险、财产保险、健康保险等多个领域。目前,该企业的软件开发模式正向敏捷开发和DevOps转型,开发团队规模不断扩大,第三方组件和开源软件的使用日益增多。企业由此面临以下几方面的网络安全挑战:
开发过程中存在大量安全漏洞,而现有管理模式下安全漏洞发现不及时,导致系统存在严重安全隐患。
对第三方组件和开源软件的安全管理不足,供应链风险不可控;
安全测试和开发流程脱节,漏洞修复效率低,特别是高危漏洞修复率不足,难以适应快速发展的业务需求。
方案介绍
在该项目中,悬镜安全聚焦保险行业软件开发中“高危漏洞修复效率低、开源组件风险失控、安全与开发流程割裂”等核心痛点,通过标准化接口对接、自动化规则引擎、分级风险处置机制,将安全能力无缝嵌入开发流水线,形成“检测-分析-修复-验证”的闭环管理,最终实现安全左移落地与供应链风险的可视化、可量化、可追溯。
整个方案以“全链路风险管控、自动化能力嵌入、数据化决策支撑”为核心思路,为企业构建了“工具平台层-流程融合层-运营管理层”三级架构,通过SAST(静态代码分析)、SCA(软件成分分析)、IAST(交互式应用安全测试)、ASOC(应用安全运营中心)四大技术平台与DevOps体系深度集成,实现从需求分析到上线运营的软件全生命周期安全管控。
项目通过分层架构优化、流程深度融合、场景化风险管控,从架构到落地全链路实现了安全能力体系化升级,为企业打造了创新的安全管理范式。其创新点主要体现在以下3个方面:
“工具平台层-流程融合层-运营管理层”三级架构创新;
DevOps深度融合的“安全左移”实践;
基于业务场景的风险智能管理;
在安全范式创新的同时,项目还从漏洞管理、流程效率、成本效益、供应链韧性等维度,助力企业实现关键安全指标的显著提升。关键指标变化如下表所示:
安全牛评
该项目通过“四大核心能力”构建了工具、流程与平台深度系统化融合的闭环管理体系。在实现软件供应链风险可视化呈现、量化评估及全链路追溯的基础上,进一步通过动、静结合多种检测方式提升安全检测精准度,并强化以数据驱动供应链风险的动态运营能力,为企业供应链风险管控提供了全维度支撑与体系化保障。作为企业落地供应链安全管理的标杆实践,该项目提供了兼具系统性与完整性的参考范式,可有效指导行业构建覆盖风险识别、评估、处置的全生命周期防护体系。
未来趋势展望
展望未来,安全牛认为数字供应链安全的发展趋势将会呈现出以下5个典型特征:
全球协同监管与标准会逐渐趋同。由于供应链往往跨越国界,单个国家的监管难以及时覆盖跨国风险,各国势必加强国际合作。预计未来将出现更多全球协同监管的举措。另外,在标准方面,各主要经济体可能推动供应链安全标准的趋同,减少企业遵从不同标准的负担。
可信计算与硬件信任增强技术将广泛用于数字供应链安全。未来数字供应链中会更广泛地部署可信计算技术,以从根本上增强各环节的可信度。
新型攻击与防御博弈演化。随着技术环境变化,供应链攻击手法也将不断翻新。但同时,防御方也将进化出新策略。可以预见,到2030年左右,供应链攻击可能成为网络攻击中最主要的形式之一,这将逼迫防御方不断创新技术与策略,与攻击者展开激烈博弈。在长期拉锯中,具有高度自动化和智能化特征的“自适应安全体系”会逐步形成,供应链防御将从被动响应走向主动对抗。
数字主权下的本地化趋势。出于国家安全和产业安全考虑,各国可能更加追求数字供应链的自主可控,促进本土供应链生态发展。这在中国和欧盟等体现尤为明显。
开源生态安全与社区协作。开源软件已是数字供应链的重要组成部分,开源组件漏洞和攻击层出不穷(如Log4j2漏洞影响全球)。展望未来,开源生态本身将加强安全治理,并通过社区协作提高供应链安全性。
总体来说,数字供应链安全未来的发展将体现出“更广泛、更深入、更智能”的特点。只有顺应这些趋势并提前布局,企业和国家才能在未来复杂的数字供应链环境中立于不败之地。
相关阅读
《2023-2024网络安全产业发展核心洞察与趋势预测》报告发布(附报告下载二维码)
以低空智联与低空安全夯实低空经济发展底座:《低空智联网环境下的安全管控技术与应用研究(2025版)》报告发布(附下载二维码)
《智能化安全运营中心应用指南(2025年)》报告发布(附下载二维码)
《后量子密码安全能力构建技术指南(2025版)》报告发布(附下载二维码)
《信创安全能力建设技术指南(2024年)》报告发布(附报告下载二维码)
《数据安全态势管理技术应用指南(2024版)》报告发布(附下载二维码)
《新一代Web安全技术应用指南(2024版)》报告发布(附下载二维码)
《攻击面管理技术应用指南(2024版)》报告发布(附下载二维码)
《信创安全能力建设技术指南(2024年)》报告发布(附报告下载二维码)
《AI时代深度伪造和合成媒体的安全威胁与对策(2024版)》报告发布
合作电话:18311333376
合作微信:aqniu001
投稿邮箱:editor@aqniu.com
