從金融機構(gòu)的核心交易系統(tǒng)，到智能汽車的控制單元；從能源基礎(chǔ)設(shè)施的工控網(wǎng)絡(luò)，到運營商的通信骨干網(wǎng)……數(shù)字供應(yīng)鏈已成為現(xiàn)代社會的"神經(jīng)系統(tǒng)"，而其安全則是數(shù)字經(jīng)濟的"生命線"。

與此同時，黎巴嫩尋呼機爆炸案引發(fā)的固件安全憂慮、歐盟R155法規(guī)對汽車行業(yè)的強制要求、AI技術(shù)在安全領(lǐng)域的革命性應(yīng)用……都在重塑著數(shù)字供應(yīng)鏈安全的格局。

安全牛即將發(fā)布的《數(shù)字供應(yīng)鏈安全技術(shù)應(yīng)用指南報告（2025版）》，將帶您深入這個既充滿挑戰(zhàn)又蘊含機遇的產(chǎn)業(yè)前沿，揭示數(shù)字供應(yīng)鏈安全的發(fā)展趨勢、市場需求和技術(shù)創(chuàng)新，助力企業(yè)在數(shù)字經(jīng)濟時代筑牢安全防線。

市場規(guī)模概況

由于全球數(shù)字供應(yīng)鏈安全監(jiān)管政策的不斷強化，供應(yīng)鏈安全作為一個獨立的市場領(lǐng)域正在快速發(fā)展。GMI報告指出2022-2023年的市場規(guī)模約為21億美元，而另有報告估計2024年市場規(guī)模為25.2億美元。

盡管各家報告的具體數(shù)字有所不同，但增長趨勢一致：預計未來幾年復合年增長率（CAGR）在10%至12.6%之間?；谶@一增長率，2030年左右，全球市場規(guī)模預計將達到49億至51.4億美元。這一增長速度與廣泛的數(shù)字化轉(zhuǎn)型市場和物聯(lián)網(wǎng)（IoT）市場的快速擴張相呼應(yīng)，也反映了數(shù)字化經(jīng)濟轉(zhuǎn)型對供應(yīng)鏈安全依賴性的增強。

在國內(nèi)，安全牛調(diào)研結(jié)果顯示：2023年軟件供應(yīng)鏈安全市場表現(xiàn)整體向好，國內(nèi)市場規(guī)模接近10億元人民幣，增長率在20%左右。這一營收數(shù)據(jù)與2022年恒州誠思關(guān)于中國軟件供應(yīng)鏈安全市場規(guī)模增速預測的數(shù)據(jù)（2022年178百萬美元，增長29%）相比保守一些，但大體相近。

2024年，由于受大經(jīng)濟環(huán)境影響，企業(yè)營收增速整體趨緩。除個別規(guī)模較小的企業(yè)，由于本身體量較小營收增長較快外，多數(shù)企業(yè)營收的平均增速在15%左右，相比2023年調(diào)研的20%有所下降。營收增長點，主要集中在SCA（軟件成分分析）、合規(guī)檢測工具、管理平臺、AI智能審計類產(chǎn)品中。

數(shù)字供應(yīng)鏈是數(shù)字經(jīng)濟發(fā)展的“生命線”，其安全關(guān)系著數(shù)字經(jīng)濟建設(shè)的百年大計。未來三年，安全牛預計：數(shù)字供應(yīng)鏈安全市場的增長節(jié)奏將呈現(xiàn)周期性震蕩或階段性起伏，但總體向好的發(fā)展態(tài)勢。

用戶及重點行業(yè)需求特點

在國內(nèi)，供應(yīng)鏈安全市場增長主要是受供應(yīng)鏈安全態(tài)勢升級、政策監(jiān)管與合規(guī)壓力、地緣政治與技術(shù)封鎖等因素影響。整體上，市場需求表現(xiàn)有以下幾個方面：

1. 合規(guī)、供應(yīng)鏈攻擊驅(qū)動監(jiān)管加強，由監(jiān)管推動市場需求進一步增長，是當前供應(yīng)鏈市場發(fā)展的重要特征。
2. 監(jiān)管部門以關(guān)鍵基礎(chǔ)設(shè)施供應(yīng)鏈安全為核心，逐步完善《網(wǎng)絡(luò)安全審查辦法》，并推進落實供應(yīng)鏈安全審查機制，將軟件供應(yīng)鏈安全等相關(guān)內(nèi)容納入更全面的網(wǎng)絡(luò)安全監(jiān)管體系中進行考量。受此影響，企業(yè)供應(yīng)鏈安全意識逐漸增強，對供應(yīng)鏈合規(guī)和透明度需求提升。企業(yè)不僅關(guān)注自研的代碼安全，也更關(guān)注外包商風險，外采軟件及第三方引入的數(shù)字制品及其組件的安全性和可管理性。
3. 受黎巴嫩尋呼機爆炸案的影響，固件安全的關(guān)注程度和檢測需求呈現(xiàn)了顯著提升趨勢。特別是軍工、汽車制造企業(yè)在這方面的表現(xiàn)更為突出，其他行業(yè)，如能源、醫(yī)療等領(lǐng)域的固件安全意識也有明顯提升。
4. 隨著供應(yīng)鏈和勒索復合攻擊導致企業(yè)敏感數(shù)據(jù)在供應(yīng)鏈上游泄露事件的增多，企業(yè)意識到很多數(shù)據(jù)泄露、篡改或濫用問題都是從代碼及代碼開發(fā)過程中引入的，并不能完全用企業(yè)級防護手段徹底解決。企業(yè)對代碼及代碼開發(fā)過程中的數(shù)據(jù)安全性要求開始增強，以試圖收斂數(shù)據(jù)暴露面，緩解供應(yīng)鏈和勒索等復合攻擊影響。
5. 由于AI落地應(yīng)用的重大突破，用戶對AI賦能網(wǎng)絡(luò)安全寄予厚望，主動提出大模型和用AI安全助手賦能網(wǎng)絡(luò)安全建設(shè)的相關(guān)需求。

從行業(yè)需求來看，供應(yīng)鏈安全的用戶早期主要集中在金融、運營商、政府和能源等行業(yè)大型國央企。隨著監(jiān)管、供應(yīng)鏈合規(guī)、測評檢測工作的開展，汽車、能源等行業(yè)的供應(yīng)鏈安全需求逐漸進入了快速增長期。當前，不同行業(yè)供應(yīng)鏈安全監(jiān)管力度、建設(shè)進度各不相同，需求差異也較明顯。

1.金融、證券行業(yè)

金融行業(yè)作為國家經(jīng)濟命脈，對軟件自主可控性有極高的要求，供應(yīng)鏈安全工作開展也較早。應(yīng)用軟件多由自身科技公司負責開發(fā)，前期大規(guī)模采購過安全測試工具，安全開發(fā)能力相對完善，目前基礎(chǔ)工具需求相對平緩，多以二次采購、AI能力增強工具為主。

2.運營商行業(yè)

運營商是國家信息基礎(chǔ)設(shè)施的重要支撐，在數(shù)字供應(yīng)鏈中，既是數(shù)字基礎(chǔ)設(shè)施的建設(shè)者也是服務(wù)提供者。供應(yīng)鏈安全早已明確被列入了國家《網(wǎng)絡(luò)安全法》《關(guān)鍵基礎(chǔ)設(shè)施安全條例》和《數(shù)據(jù)安全法》的審查范疇。作為建設(shè)者，運營商對軟、硬件采購都有嚴格供應(yīng)商安全合規(guī)審查機制，尤其是：核心網(wǎng)絡(luò)設(shè)備安全、軟件威脅檢查。作為服務(wù)商提供者，隨著云服務(wù)、數(shù)據(jù)服務(wù)業(yè)務(wù)的擴展，用戶數(shù)據(jù)存儲、處理需符合數(shù)據(jù)本地化規(guī)定，跨境數(shù)據(jù)流動受到限制，其數(shù)據(jù)全生命周期安全管理需求不斷增加。總體來看，運營商的供應(yīng)鏈安全，包括：網(wǎng)絡(luò)設(shè)備硬件，也涉及軟件、數(shù)據(jù)、服務(wù)多個方面。隨著數(shù)字化建設(shè)和網(wǎng)絡(luò)安全審查的持續(xù)深入，運營商一方面采取供應(yīng)商多元化策略，減少對單一供應(yīng)商依賴；一方面積極引進供應(yīng)鏈安全檢測的創(chuàng)新技術(shù)，提升基礎(chǔ)設(shè)施自身的安全能力。

3.汽車行業(yè)

汽車智能化和歐盟R155法規(guī)（《聯(lián)合國車輛網(wǎng)聯(lián)和自動駕駛軟件安全法規(guī)》）強制實施，是近幾年汽車領(lǐng)域供應(yīng)鏈安全需求快速增長的重要驅(qū)動因素。由于智能汽車對數(shù)字化系統(tǒng)的依賴，車輛的安全隱患及個人隱私安全問題增多。歐盟自2024年7月起，要求所有車型強制遵循R155法規(guī)，并適用于58成員國的所有64個國家。法規(guī)詳細規(guī)定了汽車信息安全管理體系要求、車輛信息安全一般要求、車輛信息安全技術(shù)要求、審核評估及測試驗證方法等內(nèi)容。對汽車生產(chǎn)企業(yè)而言：供應(yīng)鏈中任一環(huán)節(jié)未能通過法規(guī)審核，可能導致車型無法進入歐盟市場，甚至面臨召回風險。此外，法規(guī)的實施還要求企業(yè)建立快速響應(yīng)機制，對供應(yīng)鏈中的安全漏洞進行實時監(jiān)測與修復，這對企業(yè)的數(shù)字化管理能力和應(yīng)急處置能力也提出了更高要求。

4.能源行業(yè)

受“兩部委”安全合規(guī)監(jiān)管影響，能源行業(yè)合規(guī)要求提升，市場需求表現(xiàn)明顯活躍。監(jiān)管措施主要聚焦于關(guān)鍵信息基礎(chǔ)設(shè)施安全、數(shù)據(jù)安全治理，以及供應(yīng)鏈國產(chǎn)化替代等方面，旨在提升國家關(guān)鍵行業(yè)的安全韌性。對電力、石油、天然氣等能源行業(yè)企業(yè)而言，一方面要接受嚴格的供應(yīng)鏈安全合規(guī)審查，另一方面要加速推進國產(chǎn)化替代進程。整個行業(yè)面臨著信息安全投入增加和本土供應(yīng)鏈重構(gòu)兩重壓力，網(wǎng)絡(luò)安全及國內(nèi)能源裝備、工控安全、工業(yè)軟件企業(yè)迎來發(fā)展機遇，市場份額擴大。

廠商及技術(shù)方向的變化

安全牛通過廠商側(cè)調(diào)研發(fā)現(xiàn)：當前關(guān)注數(shù)字供應(yīng)鏈安全的廠商以開發(fā)安全和軟件供應(yīng)鏈安全廠商為主，廠商范圍相比往年變化不大。這也說明：國內(nèi)數(shù)字供應(yīng)鏈安全能力是從開發(fā)安全向上構(gòu)建的。過程中，廠商在努力通過創(chuàng)新發(fā)現(xiàn)和創(chuàng)新應(yīng)用使傳統(tǒng)開發(fā)安全技術(shù)與網(wǎng)絡(luò)安全和數(shù)據(jù)安全需求融合。

（一）廠商研發(fā)重心和技術(shù)方案的變化。隨著傳統(tǒng)代碼安全測試技術(shù)的成熟，基礎(chǔ)型工具市場競爭開始白熾化。廠商安全研究焦點逐漸從傳統(tǒng)代碼審計、軟件加固技術(shù)向固件安全、鏡像安全、數(shù)據(jù)安全、AI代碼安全等新型數(shù)字制品類型領(lǐng)域擴展。應(yīng)用場景方面，也在從傳統(tǒng)開發(fā)安全向供應(yīng)商管理、制品風險管理、數(shù)據(jù)安全等場景化方向轉(zhuǎn)變，這對廠商工具融合和平臺化能力也提出一些更高要求。

AI大模型作為一項變革性技術(shù)，在多個環(huán)節(jié)顯著提升了供應(yīng)鏈安全的治理水平，已經(jīng)得到了行業(yè)共識。目前，多數(shù)廠商都在積極采用AI賦能基礎(chǔ)型安全檢測技術(shù)，提升SAST、SCA、IAST等工具的檢測精度、檢測效率以及代碼修復閉環(huán)能力；同時，也在積極提供創(chuàng)新型方案，如，供應(yīng)鏈安全檢測工具箱、供應(yīng)鏈威脅情報、智能開發(fā)助手、智能審計助手等新型手段提升供應(yīng)鏈風險檢測和響應(yīng)能力。

（二）產(chǎn)品方面呈現(xiàn)有新的產(chǎn)品形態(tài)。產(chǎn)品方面，市場上呈現(xiàn)了檢測、管理、服務(wù)三類典型產(chǎn)品形態(tài)。其中，基礎(chǔ)應(yīng)用安全檢測工具市場已趨于飽和，市場正朝著工具集成和平臺化方向發(fā)展；平臺能力廠商試圖整合測試工具、供應(yīng)商風險管理、第三方風險管理功能，以提供更全面的供應(yīng)鏈風險管理產(chǎn)品；此外，為迎合供應(yīng)鏈安全監(jiān)管需求，供應(yīng)鏈安全合規(guī)檢查工具和服務(wù)也逐漸成為廠商產(chǎn)品規(guī)劃的重要發(fā)力點。

（三）數(shù)據(jù)安全的“靜默革命”和固件安全的“攻堅困境”。在數(shù)據(jù)安全檢測方面，調(diào)研發(fā)現(xiàn)，供應(yīng)鏈安全廠商，特別是代碼安全測試工具廠商，在努力研究分解不同的數(shù)據(jù)安全風險類型，試圖將數(shù)據(jù)安全檢測能力迭代到代碼安全測試工具中，為“數(shù)據(jù)安全前移”提供檢測能力，目前已經(jīng)實現(xiàn)了代碼敏感數(shù)據(jù)檢測。底層數(shù)據(jù)安全能力提升，即源自代碼安全廠商對風險的敏銳洞察，也是代碼安全廠商自發(fā)的一種責任感。其背后的努力，經(jīng)常是“擲地無聲”但“影響深遠”。

固件安全領(lǐng)域則呈現(xiàn)“高關(guān)注與低效能”的矛盾現(xiàn)狀。盡管國家戰(zhàn)略層面將固件安全納入關(guān)鍵信息基礎(chǔ)設(shè)施防護重點，且用戶側(cè)需求持續(xù)攀升，但調(diào)研表明，受制于無源代碼支撐、反匯編技術(shù)壁壘高、組件供應(yīng)鏈溯源難等結(jié)構(gòu)性瓶頸，當前主流固件安全檢測工具仍面臨自動化水平不足、漏洞挖掘效率低下的現(xiàn)實困境。部分廠商嘗試通過AI 驅(qū)動的二進制代碼分析、跨架構(gòu)漏洞特征匹配等創(chuàng)新技術(shù)突破局限，但距形成規(guī)模化應(yīng)用的成熟方案仍有較長路徑，亟待行業(yè)標準統(tǒng)一與產(chǎn)學研用協(xié)同攻關(guān)。