《数字供应链安全与风险管理技术应用指南2025版》报告启动与厂商调研征集

在云计算、大数据、人工智能等前沿技术的强势推动下，新基建以及应用新技术实施“产业基础再造”成为当下国家发展的重要驱动力。云计算、移动互联网、物联网、汽车制造、信创、AI大模型等新型基础设施都深深扎根于数字供应链的生态系统中，企业也越来越依赖互联的数字生态来创建和交付商品和服务。然而，由于软件分工、集成以及第三方供应商的不断介入，数字供应链的生态系统越来越复杂。产业链、创新链上的风险也接踵而至，开源风险、开发缺陷、软件供应链攻击等问题层出不穷。数字供应链风险伴随着数字资产在各个领域的部署和应用，蔓延到了整个数字空间，并贯穿了数字资产的整个生命周期。

在国家层面，在全球数字化和国际局势日趋复杂的大背景下，数字供应链风险长期潜伏、技术封锁时有发生、关键核心技术“卡脖子”问题日益凸显。特别是2024年黎巴嫩寻呼机爆炸事件，再次警示我们：数字供应链安全是国家综合实力与竞争力的重要组成部分，关乎经济稳定、产业发展与国家安全。提升数字供应链韧性和安全水平，实现数字供应链和数字资产安全可控，即是当下数字经济稳健发展的重要基石，也是政府各方高度关注的重大问题。在企业层面，由于数字化转型对软件依赖的增加以及云网融合的深化，企业数字资产的类型和边界都在不断扩大。企业数字资产风险不仅延伸到软件供应过程中，还渗透到了云计算、移动互联网、物联网、工业互联网等多个数字空间。传统的IT资产风险管理鞭长莫及，加上资产流转、管理工具碎片化等因素，风险管理能力割裂，运行和开发难以形成有效闭环，软件漏洞修复滞后。这给企业数字资产风险管理工作增加了很多挑战。

在供应链及应用软件安全领域，由于新兴技术赋能和软件供应链安全政策推动，应用安全技术迎来了快速增长的黄金时期。Gartner 2024年技术曲线的变化显示：SCA、SSCS、SBOM、RASP、ASPM、Agentic AI的成熟度在迅速提升。其中，SCA已经完全成熟滑出了该曲线；Agentic AI作为一项新增能力与其他几项技术一起将在2至5年内快速进入稳步爬升周期。值得注意的是，SSCS、ASPM、Agentic AI被标记为“颠覆型”技术，业内认为这些技术能打破传统业务模式的局限，是可以帮助应用安全厂商实现跨行业开展业务的新方式。2024年安全牛的调研结果也显示，这些技术显著提升了制品上线前的风险检测和风险预警能力，并且正在努力从风险管理的视角突破软件供应链管理脱节的瓶颈，与系统运行阶段、安全运维阶段的风险管理融合起来，形成数字资产全生命周期的风险管理能力。对软件供应链安全厂商来说，数字供应链与资产风险管理融合将会成为一个更有吸引力的市场。

在此背景上，安全牛提出了“数字供应链安全”这一理念。我们认为：数字供应链安全不仅是软件供应链安全在数字空间的简单延伸，它还可以围绕企业数字资产全生命周期，运用识别、评估、控制、流程管理等手段，降低数字资产供应及其使用过程面临的各类网络风险、数据风险，帮助企业实现风险管理闭环和持续安全运营。

实现数字资产全生命周期的风险管理，是企业风险管理者的终极目标。无论是主张以交付为核心的软件供应链安全，还是主张传统IT风险管理的CISO都应紧跟这一融合趋势，适应技术变革。为帮助企业安全与风险管理者了解相关的理念、技术、应用以及生态现状，安全牛正式启动了《数字供应链安全与风险管理技术应用指南（2025版）》报告研究工作。

本次报告在《软件供应链安全能力构建指南（2024版）》研究基础上，将软件供应链安全的理念从开源风险、应对软件供应链攻击扩展到数字资产风险管理，并进一步围绕如何基于数字供应链安全实现企业资产全生命周期风险管理开展分析和研究。

报告将围绕以下几个方面展开：

1. 理念与政策深入研究：报告将在传统软件供应链安全的基础上，将供应链安全拓展到数字空间及风险管理。并进一步阐述数字供应链安全的概念、内涵、与传统供应链安全的区别与联系。研究代表性国家的政策、驱动因素及其差异。

2. 风险及挑战深度剖析：报告研究新型数字资产及其面临的供应链风险，以及传统供应链安全与IT资产风险管理在数字供应链安全管理中的挑战。

3. 聚焦技术创新融合：报告将聚焦于数字供应链安全的关键技术、创新技术和融合技术研究，分析关键变革性技术及其对数字空间安全的影响。特别是数据和个人信息安全治理、IT资产风险管理。

4. 应用场景多元拓展：报告将围绕云计算、移动互联、物联网、工业互联网、信创应用等新兴场景，研究新型数字资产及其面临的供应链风险与风险管理问题，场景化特点、代表性技术及应用方案。如云原生应用安全、物联网代码安全、工业软件安全、信创软件安全等。

5. 产业调研及代表能力展示：报告将基于调研呈现当前产业的发展现状、生态结构、技术成熟度，以及代表性产品和创新应用。

报告将基于厂商调研，对该领域的创新能力、产品及技术成熟度、演进趋势等情况进行分析，并向企业用户传递该领域的整体发展态势。报告邀请在数字供应链安全、云原生应用安全、移动应用安全、物联网应用安全领域开展数字资产风险管理融合创新实践的厂商参与本次调研。

调研厂商范围：调研主要面向安全牛《中国网络安全行业全景图》中“软件供应链安全”“云原生应用安全”“移动应用安全”“物联网应用安全”“数据和个人信息安全”“漏洞管理”“IT资产风险管理”领域收录的厂商。调研方式包括问卷调研、线上或线下访谈等多种方式。

代表性厂商收录和推荐：基于调研，报告将全面剖析厂商该领域的创新能力，细致评估创新产品的特性与价值，选取典型的代表性厂商进行收录和推荐。同时，报告也会征集厂商近年来成功落地的相关应用案例进行展示，并从第三方分析师的视角进行综合评价，为用户的应用选型提供参考。

调研原则：厂商调研将坚持自主性、开放性、全面性、客观性、实用性原则，报告将真实、客观地体现国内该技术领域当前的发展状况及应用特点。相关申报数据需要真实并可核验，不能配合数据核验的企业需在申报时标注并说明原因；由于部分申报内容可能涉及企业商业秘密，申报企业可与安全牛签订数据真实性及保密协议。

厂商参与方式：欢迎在“软件供应链安全”“云原生应用安全”“移动应用安全”“物联网应用安全”“数据和个人信息安全”“漏洞管理”“IT资产风险管理”领域有深厚技术研究、优秀产品，以及成功落地应用实践的厂商参与报告调研。报名厂商请扫描下方二维码或联系安全牛相关负责人。收到您的申报信息后，我们会与您沟通报告调研及具体合作方式。