《软件供应链安全能力构建指南（2024版）》报告发布

随着漏洞挖掘技术和攻击手段的不断发展，漏洞利用的门槛逐步降低，软件供应链攻击日益猖獗，原本存在的供应链脆弱性更加显现。攻击者通过在供应链上投放恶意代码、植入木马等方式，可更精准地实现定向威胁、信息窃取和勒索攻击等目的。近年来的多起安全事件进一步证明了软件供应链攻击的严峻态势，尤其是在国际形势复杂、供应关系高度敏感的背景下，供应链“武器化”已成为不可忽视的事实。基于供应链视角开展软件安全审查，不仅是满足安全合规的要求，更是保障国家数字经济高质量发展的重要支撑，亦是当前国情下必须落实的重要安全举措。

为帮助企业CSO更好地应对软件供应活动中的安全管理要求，安全牛基于应用安全领域的研究积累和厂商支持编写了《软件供应链安全能力构建指南（2024版）》报告，在报告研究过程中采用了问卷、访谈、产品演示，并结合了定量、定性及统计分析等研究方法。报告内容侧重于软件供应链安全能力建设的技术、工具和构建方法，希望通过有效的技术方案帮助企业CSO应对软件供应活动中的安全管理要求。报告于10月31日正式发布。

报告内容包括概述、国内外标准及应用现状等8个章节(如下图目录所示)。为帮助用户了解报告内容，本文从关键发现、系统架构、核心能力、建设建议、未来趋势5个部分对报告进行简单介绍。

基于多方面调研，报告整理了8个关键发现：

• 调研数据显示，45%左右的调研者表示企业遭到过不同程度的软件供应链风险，半数以上企业表示同时遭受过两个及以上的风险影响。企业面临的软件供应链风险类型中，开源组件及漏洞风险仍是最突出的风险类型。

• 调研数据显示，90%以上企业认为软件供应链安全需要得到重视，并表示愿意为软件供应链安全能力建设提供一定的预算。但主动实施软件供应链安全加固的意愿并不高，主要受政策和事件驱动影响。

• 调研数据显示，落地建设中用户会更关注厂商的产品、方案、服务能力，在品牌影响力、创新能力方面的关注度相对较小。

• 调研结果显示，静态安全测试和DevSecOps敏感开发安全管理工具的采用比例较高，客户满意度也维持相对较高比例；SCA也有一定规模的应用，但满意度还尚有较大提升空间。

• 调研发现，目前阶段软件供应链安全能力建设过程中的挑战还较多。其中，网络环境、开发架构、开发者水平、市场监管、进度和安全协同、检测技术、跨组织协同、平台化管理、核心知识库是当前软件供应链安全能力建设的九个重要挑战。

• 安全牛认为，自动化编排、智能化将成为软件供应链安全产品未来的核心竞争力。同时，API安全、数据安全、隐私安全将成为漏洞之后软件供应链安全的一项重要任务，并且会成为实现数据安全和个人信息安全的有效抓手。

• 安全牛认为，云上开发、云上应用都在牵引着软件供应链安全向云原生安全方向发展，未来或将会和MDR、MSS一样成为云运营、可托管的安全服务。

• 调研数据显示，过去一年，软件供应链安全市场表现整体向好，国内市场规模接近10亿元人民币，增长率超过20%。其中，百人以上中型规模的专精厂商占据了50%以上的市场份额。

软件供应链的风险暴露面大，其防护不能简单依赖某个技术或工具，需要从技术、工具、流程制度、教育培训等多方面开展综合治理。基于调研和研究，报告给出了构建软件供应链安全的系统框图（如下图所示），并建议软件供应链安全围绕人、流程、环境面临的风险进行全生命周期的安全检测和防护；同时，在不同阶段做好预防、检测、防护和处置等闭环管控措施。

本系统框图主要包括风险管理、AST工具、知识库三部分。安全牛认为这是软件供应链安全建设必不可少的三个组成部分。

AST采集、识别软件源代码和应用软件的各类安全风险，是软件供应链风险识别和防护的基础。特别是黎巴嫩爆炸事件之后，也让我们进一步意识到：检测能力必须成为软件供应链安全的核心能力，是必须自己掌握的关键技术，并且要不断精进检测水平以对抗供应链的各类新型攻击。

风险管理是数据处理和风险管理的多任务的综合管控平台，能对企业或项目中涉及的软件及其供应链风险进行统一处理、综合分析、可视化展示。它也是用户实施风险缓解的重要抓手。

知识库是安全经验知识的积累，能支撑风险识别、分析，提高风险监测和处置效率。充分利用知识库，不仅可以应对已知风险，还能有效预防未知风险。

软件供应链是生态系统性问题，其安全问题需要生态链中的联盟、组织、开发者、供应商、采购单位共担、共建，需要管理手段和技术手段并用。为更好地理解软件供应链安全的核心能力，报告基于研究定义了软件供应链安全的七个核心能力，亦称软件供应链安全的“三梁四柱”。

开展软件供应链安全可以减少软件漏洞、许可违规风险，全面提升网络的本质安全能力，也是势在必行的国家安全战略。为此，报告从六个方面给出了开展软件供应链安全建设的建议。   

其中，软件供应链安全建设离不开产品和厂商服务，在寻求厂商支持时，安全牛建议从综合能力和技术能力两个方面进行评估。

• 在进行厂商能力评估时，应覆盖到细分领域的品牌能力、技术能力、产品化能力、方案应用能力和服务能力5个维度。

• 在进行技术能力评估时，建议平台、检测工具和知识库能力三方面进行识别。

这部分内容包括市场规模预测和技术发展趋势两部分。

过去一年软件供应链安全市场表现整体向好，报告对国内市场规模和增长率进行了预测（预测数据见报告全文）。整体呈现市场规模扩大，增长速率趋缓的态势。

报告预测，未来3年软件供应链安全将处于平稳增长态势，并给出了2026年市场规模的预测数据。

与此同时，全球的软件供应链安全市场也在快速增长。安全牛根据调研推测了2023年全球软件供应链安全市场规模和复合增长率，并预测了2030年的数据。

受风险态势、国际政策、市场需求和新兴技术影响，安全牛预测软件供应链安全技术将会有以下4个发展趋势：

单点的、离散式的管理难以应对软件供应链的全线风险挑战。与此同时，市场上检测工具类型相对完善，进一步为一体化管理提供了能力支撑。

AST的初衷就是通过软件测试自动化提高测试效率并给予快速反馈，其工具本身就是对自动化依赖很高的一类产品。此外，软件供应链安全管理涉及诸多复杂的事务性活动，需要平台有非常好的业务灵活性、可靠性，进一步增加了对自动化、流程编排技术的依赖。

智能化方面，安全牛在调研中看到了AI大模型在软件供应链安全应用中取得的一些成果。包括在提高检测精度 、降低误报率、用主流的高级语言替代难以维护的源代码、对嵌入式目标代码反编译等方面都取得了很好的研究进展。

因此，安全牛认为，自动化编排、智能化将成为未来软件供应链安全产品的核心竞争力。

软件自身的脆弱性是造成漏洞利用、API风险、数据/隐私泄露的根本原因。这些问题只有回归到开发中去才能得到根本性的修复。就当前的安全政策来看，数据安全、API安全正在受到国家、行业的高度重视，安全牛预测基于软件供应链安全开展API安全、数据安全、隐私安全将成为漏洞安全之后的主要任务。

随着云计算、云原生技术的广泛应用，云上的软件生态也越来越丰富。云上开发、云上应用都在牵引着软件供应链向云原生安全方向发展。软件供应链安全将更紧密地与云服务提供商联合，形成云到云、云到端的安全保障体系，未来或将会和MDR、MSS一样成为云运营的、可托管的安全服务。

目前《软件供应链安全能力构建指南（2024版）》报告已经在安全牛商城上架预售，获取完整版本报告，请点击识别下方报告二维码。