從金融機(jī)構(gòu)的核心交易系統(tǒng)，到智能汽車的控制單元；從能源基礎(chǔ)設(shè)施的工控網(wǎng)絡(luò)，到運(yùn)營商的通信骨干網(wǎng)……數(shù)字供應(yīng)鏈已成為現(xiàn)代社會(huì)的"神經(jīng)系統(tǒng)"，而其安全則是數(shù)字經(jīng)濟(jì)的"生命線"。

與此同時(shí)，黎巴嫩尋呼機(jī)爆炸案引發(fā)的固件安全憂慮、歐盟R155法規(guī)對(duì)汽車行業(yè)的強(qiáng)制要求、AI技術(shù)在安全領(lǐng)域的革命性應(yīng)用……都在重塑著數(shù)字供應(yīng)鏈安全的格局。

安全牛即將發(fā)布的《數(shù)字供應(yīng)鏈安全技術(shù)應(yīng)用指南報(bào)告（2025版）》，將帶您深入這個(gè)既充滿挑戰(zhàn)又蘊(yùn)含機(jī)遇的產(chǎn)業(yè)前沿，揭示數(shù)字供應(yīng)鏈安全的發(fā)展趨勢、市場需求和技術(shù)創(chuàng)新，助力企業(yè)在數(shù)字經(jīng)濟(jì)時(shí)代筑牢安全防線。

市場規(guī)模概況

由于全球數(shù)字供應(yīng)鏈安全監(jiān)管政策的不斷強(qiáng)化，供應(yīng)鏈安全作為一個(gè)獨(dú)立的市場領(lǐng)域正在快速發(fā)展。GMI報(bào)告指出2022-2023年的市場規(guī)模約為21億美元，而另有報(bào)告估計(jì)2024年市場規(guī)模為25.2億美元。

盡管各家報(bào)告的具體數(shù)字有所不同，但增長趨勢一致：預(yù)計(jì)未來幾年復(fù)合年增長率（CAGR）在10%至12.6%之間?；谶@一增長率，2030年左右，全球市場規(guī)模預(yù)計(jì)將達(dá)到49億至51.4億美元。這一增長速度與廣泛的數(shù)字化轉(zhuǎn)型市場和物聯(lián)網(wǎng)（IoT）市場的快速擴(kuò)張相呼應(yīng)，也反映了數(shù)字化經(jīng)濟(jì)轉(zhuǎn)型對(duì)供應(yīng)鏈安全依賴性的增強(qiáng)。

在國內(nèi)，安全牛調(diào)研結(jié)果顯示：2023年軟件供應(yīng)鏈安全市場表現(xiàn)整體向好，國內(nèi)市場規(guī)模接近10億元人民幣，增長率在20%左右。這一營收數(shù)據(jù)與2022年恒州誠思關(guān)于中國軟件供應(yīng)鏈安全市場規(guī)模增速預(yù)測的數(shù)據(jù)（2022年178百萬美元，增長29%）相比保守一些，但大體相近。

2024年，由于受大經(jīng)濟(jì)環(huán)境影響，企業(yè)營收增速整體趨緩。除個(gè)別規(guī)模較小的企業(yè)，由于本身體量較小營收增長較快外，多數(shù)企業(yè)營收的平均增速在15%左右，相比2023年調(diào)研的20%有所下降。營收增長點(diǎn)，主要集中在SCA（軟件成分分析）、合規(guī)檢測工具、管理平臺(tái)、AI智能審計(jì)類產(chǎn)品中。

數(shù)字供應(yīng)鏈?zhǔn)菙?shù)字經(jīng)濟(jì)發(fā)展的“生命線”，其安全關(guān)系著數(shù)字經(jīng)濟(jì)建設(shè)的百年大計(jì)。未來三年，安全牛預(yù)計(jì)：數(shù)字供應(yīng)鏈安全市場的增長節(jié)奏將呈現(xiàn)周期性震蕩或階段性起伏，但總體向好的發(fā)展態(tài)勢。

用戶及重點(diǎn)行業(yè)需求特點(diǎn)

在國內(nèi)，供應(yīng)鏈安全市場增長主要是受供應(yīng)鏈安全態(tài)勢升級(jí)、政策監(jiān)管與合規(guī)壓力、地緣政治與技術(shù)封鎖等因素影響。整體上，市場需求表現(xiàn)有以下幾個(gè)方面：

1. 合規(guī)、供應(yīng)鏈攻擊驅(qū)動(dòng)監(jiān)管加強(qiáng)，由監(jiān)管推動(dòng)市場需求進(jìn)一步增長，是當(dāng)前供應(yīng)鏈?zhǔn)袌霭l(fā)展的重要特征。
2. 監(jiān)管部門以關(guān)鍵基礎(chǔ)設(shè)施供應(yīng)鏈安全為核心，逐步完善《網(wǎng)絡(luò)安全審查辦法》，并推進(jìn)落實(shí)供應(yīng)鏈安全審查機(jī)制，將軟件供應(yīng)鏈安全等相關(guān)內(nèi)容納入更全面的網(wǎng)絡(luò)安全監(jiān)管體系中進(jìn)行考量。受此影響，企業(yè)供應(yīng)鏈安全意識(shí)逐漸增強(qiáng)，對(duì)供應(yīng)鏈合規(guī)和透明度需求提升。企業(yè)不僅關(guān)注自研的代碼安全，也更關(guān)注外包商風(fēng)險(xiǎn)，外采軟件及第三方引入的數(shù)字制品及其組件的安全性和可管理性。
3. 受黎巴嫩尋呼機(jī)爆炸案的影響，固件安全的關(guān)注程度和檢測需求呈現(xiàn)了顯著提升趨勢。特別是軍工、汽車制造企業(yè)在這方面的表現(xiàn)更為突出，其他行業(yè)，如能源、醫(yī)療等領(lǐng)域的固件安全意識(shí)也有明顯提升。
4. 隨著供應(yīng)鏈和勒索復(fù)合攻擊導(dǎo)致企業(yè)敏感數(shù)據(jù)在供應(yīng)鏈上游泄露事件的增多，企業(yè)意識(shí)到很多數(shù)據(jù)泄露、篡改或?yàn)E用問題都是從代碼及代碼開發(fā)過程中引入的，并不能完全用企業(yè)級(jí)防護(hù)手段徹底解決。企業(yè)對(duì)代碼及代碼開發(fā)過程中的數(shù)據(jù)安全性要求開始增強(qiáng)，以試圖收斂數(shù)據(jù)暴露面，緩解供應(yīng)鏈和勒索等復(fù)合攻擊影響。
5. 由于AI落地應(yīng)用的重大突破，用戶對(duì)AI賦能網(wǎng)絡(luò)安全寄予厚望，主動(dòng)提出大模型和用AI安全助手賦能網(wǎng)絡(luò)安全建設(shè)的相關(guān)需求。

從行業(yè)需求來看，供應(yīng)鏈安全的用戶早期主要集中在金融、運(yùn)營商、政府和能源等行業(yè)大型國央企。隨著監(jiān)管、供應(yīng)鏈合規(guī)、測評(píng)檢測工作的開展，汽車、能源等行業(yè)的供應(yīng)鏈安全需求逐漸進(jìn)入了快速增長期。當(dāng)前，不同行業(yè)供應(yīng)鏈安全監(jiān)管力度、建設(shè)進(jìn)度各不相同，需求差異也較明顯。

1.金融、證券行業(yè)

金融行業(yè)作為國家經(jīng)濟(jì)命脈，對(duì)軟件自主可控性有極高的要求，供應(yīng)鏈安全工作開展也較早。應(yīng)用軟件多由自身科技公司負(fù)責(zé)開發(fā)，前期大規(guī)模采購過安全測試工具，安全開發(fā)能力相對(duì)完善，目前基礎(chǔ)工具需求相對(duì)平緩，多以二次采購、AI能力增強(qiáng)工具為主。

2.運(yùn)營商行業(yè)

運(yùn)營商是國家信息基礎(chǔ)設(shè)施的重要支撐，在數(shù)字供應(yīng)鏈中，既是數(shù)字基礎(chǔ)設(shè)施的建設(shè)者也是服務(wù)提供者。供應(yīng)鏈安全早已明確被列入了國家《網(wǎng)絡(luò)安全法》《關(guān)鍵基礎(chǔ)設(shè)施安全條例》和《數(shù)據(jù)安全法》的審查范疇。作為建設(shè)者，運(yùn)營商對(duì)軟、硬件采購都有嚴(yán)格供應(yīng)商安全合規(guī)審查機(jī)制，尤其是：核心網(wǎng)絡(luò)設(shè)備安全、軟件威脅檢查。作為服務(wù)商提供者，隨著云服務(wù)、數(shù)據(jù)服務(wù)業(yè)務(wù)的擴(kuò)展，用戶數(shù)據(jù)存儲(chǔ)、處理需符合數(shù)據(jù)本地化規(guī)定，跨境數(shù)據(jù)流動(dòng)受到限制，其數(shù)據(jù)全生命周期安全管理需求不斷增加?？傮w來看，運(yùn)營商的供應(yīng)鏈安全，包括：網(wǎng)絡(luò)設(shè)備硬件，也涉及軟件、數(shù)據(jù)、服務(wù)多個(gè)方面。隨著數(shù)字化建設(shè)和網(wǎng)絡(luò)安全審查的持續(xù)深入，運(yùn)營商一方面采取供應(yīng)商多元化策略，減少對(duì)單一供應(yīng)商依賴；一方面積極引進(jìn)供應(yīng)鏈安全檢測的創(chuàng)新技術(shù)，提升基礎(chǔ)設(shè)施自身的安全能力。

3.汽車行業(yè)

汽車智能化和歐盟R155法規(guī)（《聯(lián)合國車輛網(wǎng)聯(lián)和自動(dòng)駕駛軟件安全法規(guī)》）強(qiáng)制實(shí)施，是近幾年汽車領(lǐng)域供應(yīng)鏈安全需求快速增長的重要驅(qū)動(dòng)因素。由于智能汽車對(duì)數(shù)字化系統(tǒng)的依賴，車輛的安全隱患及個(gè)人隱私安全問題增多。歐盟自2024年7月起，要求所有車型強(qiáng)制遵循R155法規(guī)，并適用于58成員國的所有64個(gè)國家。法規(guī)詳細(xì)規(guī)定了汽車信息安全管理體系要求、車輛信息安全一般要求、車輛信息安全技術(shù)要求、審核評(píng)估及測試驗(yàn)證方法等內(nèi)容。對(duì)汽車生產(chǎn)企業(yè)而言：供應(yīng)鏈中任一環(huán)節(jié)未能通過法規(guī)審核，可能導(dǎo)致車型無法進(jìn)入歐盟市場，甚至面臨召回風(fēng)險(xiǎn)。此外，法規(guī)的實(shí)施還要求企業(yè)建立快速響應(yīng)機(jī)制，對(duì)供應(yīng)鏈中的安全漏洞進(jìn)行實(shí)時(shí)監(jiān)測與修復(fù)，這對(duì)企業(yè)的數(shù)字化管理能力和應(yīng)急處置能力也提出了更高要求。

4.能源行業(yè)

受“兩部委”安全合規(guī)監(jiān)管影響，能源行業(yè)合規(guī)要求提升，市場需求表現(xiàn)明顯活躍。監(jiān)管措施主要聚焦于關(guān)鍵信息基礎(chǔ)設(shè)施安全、數(shù)據(jù)安全治理，以及供應(yīng)鏈國產(chǎn)化替代等方面，旨在提升國家關(guān)鍵行業(yè)的安全韌性。對(duì)電力、石油、天然氣等能源行業(yè)企業(yè)而言，一方面要接受嚴(yán)格的供應(yīng)鏈安全合規(guī)審查，另一方面要加速推進(jìn)國產(chǎn)化替代進(jìn)程。整個(gè)行業(yè)面臨著信息安全投入增加和本土供應(yīng)鏈重構(gòu)兩重壓力，網(wǎng)絡(luò)安全及國內(nèi)能源裝備、工控安全、工業(yè)軟件企業(yè)迎來發(fā)展機(jī)遇，市場份額擴(kuò)大。

廠商及技術(shù)方向的變化

安全牛通過廠商側(cè)調(diào)研發(fā)現(xiàn)：當(dāng)前關(guān)注數(shù)字供應(yīng)鏈安全的廠商以開發(fā)安全和軟件供應(yīng)鏈安全廠商為主，廠商范圍相比往年變化不大。這也說明：國內(nèi)數(shù)字供應(yīng)鏈安全能力是從開發(fā)安全向上構(gòu)建的。過程中，廠商在努力通過創(chuàng)新發(fā)現(xiàn)和創(chuàng)新應(yīng)用使傳統(tǒng)開發(fā)安全技術(shù)與網(wǎng)絡(luò)安全和數(shù)據(jù)安全需求融合。

（一）廠商研發(fā)重心和技術(shù)方案的變化。隨著傳統(tǒng)代碼安全測試技術(shù)的成熟，基礎(chǔ)型工具市場競爭開始白熾化。廠商安全研究焦點(diǎn)逐漸從傳統(tǒng)代碼審計(jì)、軟件加固技術(shù)向固件安全、鏡像安全、數(shù)據(jù)安全、AI代碼安全等新型數(shù)字制品類型領(lǐng)域擴(kuò)展。應(yīng)用場景方面，也在從傳統(tǒng)開發(fā)安全向供應(yīng)商管理、制品風(fēng)險(xiǎn)管理、數(shù)據(jù)安全等場景化方向轉(zhuǎn)變，這對(duì)廠商工具融合和平臺(tái)化能力也提出一些更高要求。

AI大模型作為一項(xiàng)變革性技術(shù)，在多個(gè)環(huán)節(jié)顯著提升了供應(yīng)鏈安全的治理水平，已經(jīng)得到了行業(yè)共識(shí)。目前，多數(shù)廠商都在積極采用AI賦能基礎(chǔ)型安全檢測技術(shù)，提升SAST、SCA、IAST等工具的檢測精度、檢測效率以及代碼修復(fù)閉環(huán)能力；同時(shí)，也在積極提供創(chuàng)新型方案，如，供應(yīng)鏈安全檢測工具箱、供應(yīng)鏈威脅情報(bào)、智能開發(fā)助手、智能審計(jì)助手等新型手段提升供應(yīng)鏈風(fēng)險(xiǎn)檢測和響應(yīng)能力。

（二）產(chǎn)品方面呈現(xiàn)有新的產(chǎn)品形態(tài)。產(chǎn)品方面，市場上呈現(xiàn)了檢測、管理、服務(wù)三類典型產(chǎn)品形態(tài)。其中，基礎(chǔ)應(yīng)用安全檢測工具市場已趨于飽和，市場正朝著工具集成和平臺(tái)化方向發(fā)展；平臺(tái)能力廠商試圖整合測試工具、供應(yīng)商風(fēng)險(xiǎn)管理、第三方風(fēng)險(xiǎn)管理功能，以提供更全面的供應(yīng)鏈風(fēng)險(xiǎn)管理產(chǎn)品；此外，為迎合供應(yīng)鏈安全監(jiān)管需求，供應(yīng)鏈安全合規(guī)檢查工具和服務(wù)也逐漸成為廠商產(chǎn)品規(guī)劃的重要發(fā)力點(diǎn)。

（三）數(shù)據(jù)安全的“靜默革命”和固件安全的“攻堅(jiān)困境”。在數(shù)據(jù)安全檢測方面，調(diào)研發(fā)現(xiàn)，供應(yīng)鏈安全廠商，特別是代碼安全測試工具廠商，在努力研究分解不同的數(shù)據(jù)安全風(fēng)險(xiǎn)類型，試圖將數(shù)據(jù)安全檢測能力迭代到代碼安全測試工具中，為“數(shù)據(jù)安全前移”提供檢測能力，目前已經(jīng)實(shí)現(xiàn)了代碼敏感數(shù)據(jù)檢測。底層數(shù)據(jù)安全能力提升，即源自代碼安全廠商對(duì)風(fēng)險(xiǎn)的敏銳洞察，也是代碼安全廠商自發(fā)的一種責(zé)任感。其背后的努力，經(jīng)常是“擲地?zé)o聲”但“影響深遠(yuǎn)”。

固件安全領(lǐng)域則呈現(xiàn)“高關(guān)注與低效能”的矛盾現(xiàn)狀。盡管國家戰(zhàn)略層面將固件安全納入關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)重點(diǎn)，且用戶側(cè)需求持續(xù)攀升，但調(diào)研表明，受制于無源代碼支撐、反匯編技術(shù)壁壘高、組件供應(yīng)鏈溯源難等結(jié)構(gòu)性瓶頸，當(dāng)前主流固件安全檢測工具仍面臨自動(dòng)化水平不足、漏洞挖掘效率低下的現(xiàn)實(shí)困境。部分廠商嘗試通過AI 驅(qū)動(dòng)的二進(jìn)制代碼分析、跨架構(gòu)漏洞特征匹配等創(chuàng)新技術(shù)突破局限，但距形成規(guī)模化應(yīng)用的成熟方案仍有較長路徑，亟待行業(yè)標(biāo)準(zhǔn)統(tǒng)一與產(chǎn)學(xué)研用協(xié)同攻關(guān)。