從金融機(jī)構(gòu)的核心交易系統(tǒng)，到智能汽車(chē)的控制單元；從能源基礎(chǔ)設(shè)施的工控網(wǎng)絡(luò)，到運(yùn)營(yíng)商的通信骨干網(wǎng)……數(shù)字供應(yīng)鏈已成為現(xiàn)代社會(huì)的"神經(jīng)系統(tǒng)"，而其安全則是數(shù)字經(jīng)濟(jì)的"生命線(xiàn)"。

與此同時(shí)，黎巴嫩尋呼機(jī)爆炸案引發(fā)的固件安全憂(yōu)慮、歐盟R155法規(guī)對(duì)汽車(chē)行業(yè)的強(qiáng)制要求、AI技術(shù)在安全領(lǐng)域的革命性應(yīng)用……都在重塑著數(shù)字供應(yīng)鏈安全的格局。

安全牛即將發(fā)布的《數(shù)字供應(yīng)鏈安全技術(shù)應(yīng)用指南報(bào)告（2025版）》，將帶您深入這個(gè)既充滿(mǎn)挑戰(zhàn)又蘊(yùn)含機(jī)遇的產(chǎn)業(yè)前沿，揭示數(shù)字供應(yīng)鏈安全的發(fā)展趨勢(shì)、市場(chǎng)需求和技術(shù)創(chuàng)新，助力企業(yè)在數(shù)字經(jīng)濟(jì)時(shí)代筑牢安全防線(xiàn)。

市場(chǎng)規(guī)模概況

由于全球數(shù)字供應(yīng)鏈安全監(jiān)管政策的不斷強(qiáng)化，供應(yīng)鏈安全作為一個(gè)獨(dú)立的市場(chǎng)領(lǐng)域正在快速發(fā)展。GMI報(bào)告指出2022-2023年的市場(chǎng)規(guī)模約為21億美元，而另有報(bào)告估計(jì)2024年市場(chǎng)規(guī)模為25.2億美元。

盡管各家報(bào)告的具體數(shù)字有所不同，但增長(zhǎng)趨勢(shì)一致：預(yù)計(jì)未來(lái)幾年復(fù)合年增長(zhǎng)率（CAGR）在10%至12.6%之間?；谶@一增長(zhǎng)率，2030年左右，全球市場(chǎng)規(guī)模預(yù)計(jì)將達(dá)到49億至51.4億美元。這一增長(zhǎng)速度與廣泛的數(shù)字化轉(zhuǎn)型市場(chǎng)和物聯(lián)網(wǎng)（IoT）市場(chǎng)的快速擴(kuò)張相呼應(yīng)，也反映了數(shù)字化經(jīng)濟(jì)轉(zhuǎn)型對(duì)供應(yīng)鏈安全依賴(lài)性的增強(qiáng)。

在國(guó)內(nèi)，安全牛調(diào)研結(jié)果顯示：2023年軟件供應(yīng)鏈安全市場(chǎng)表現(xiàn)整體向好，國(guó)內(nèi)市場(chǎng)規(guī)模接近10億元人民幣，增長(zhǎng)率在20%左右。這一營(yíng)收數(shù)據(jù)與2022年恒州誠(chéng)思關(guān)于中國(guó)軟件供應(yīng)鏈安全市場(chǎng)規(guī)模增速預(yù)測(cè)的數(shù)據(jù)（2022年178百萬(wàn)美元，增長(zhǎng)29%）相比保守一些，但大體相近。

2024年，由于受大經(jīng)濟(jì)環(huán)境影響，企業(yè)營(yíng)收增速整體趨緩。除個(gè)別規(guī)模較小的企業(yè)，由于本身體量較小營(yíng)收增長(zhǎng)較快外，多數(shù)企業(yè)營(yíng)收的平均增速在15%左右，相比2023年調(diào)研的20%有所下降。營(yíng)收增長(zhǎng)點(diǎn)，主要集中在SCA（軟件成分分析）、合規(guī)檢測(cè)工具、管理平臺(tái)、AI智能審計(jì)類(lèi)產(chǎn)品中。

數(shù)字供應(yīng)鏈?zhǔn)菙?shù)字經(jīng)濟(jì)發(fā)展的“生命線(xiàn)”，其安全關(guān)系著數(shù)字經(jīng)濟(jì)建設(shè)的百年大計(jì)。未來(lái)三年，安全牛預(yù)計(jì)：數(shù)字供應(yīng)鏈安全市場(chǎng)的增長(zhǎng)節(jié)奏將呈現(xiàn)周期性震蕩或階段性起伏，但總體向好的發(fā)展態(tài)勢(shì)。

用戶(hù)及重點(diǎn)行業(yè)需求特點(diǎn)

在國(guó)內(nèi)，供應(yīng)鏈安全市場(chǎng)增長(zhǎng)主要是受供應(yīng)鏈安全態(tài)勢(shì)升級(jí)、政策監(jiān)管與合規(guī)壓力、地緣政治與技術(shù)封鎖等因素影響。整體上，市場(chǎng)需求表現(xiàn)有以下幾個(gè)方面：

1. 合規(guī)、供應(yīng)鏈攻擊驅(qū)動(dòng)監(jiān)管加強(qiáng)，由監(jiān)管推動(dòng)市場(chǎng)需求進(jìn)一步增長(zhǎng)，是當(dāng)前供應(yīng)鏈?zhǔn)袌?chǎng)發(fā)展的重要特征。
2. 監(jiān)管部門(mén)以關(guān)鍵基礎(chǔ)設(shè)施供應(yīng)鏈安全為核心，逐步完善《網(wǎng)絡(luò)安全審查辦法》，并推進(jìn)落實(shí)供應(yīng)鏈安全審查機(jī)制，將軟件供應(yīng)鏈安全等相關(guān)內(nèi)容納入更全面的網(wǎng)絡(luò)安全監(jiān)管體系中進(jìn)行考量。受此影響，企業(yè)供應(yīng)鏈安全意識(shí)逐漸增強(qiáng)，對(duì)供應(yīng)鏈合規(guī)和透明度需求提升。企業(yè)不僅關(guān)注自研的代碼安全，也更關(guān)注外包商風(fēng)險(xiǎn)，外采軟件及第三方引入的數(shù)字制品及其組件的安全性和可管理性。
3. 受黎巴嫩尋呼機(jī)爆炸案的影響，固件安全的關(guān)注程度和檢測(cè)需求呈現(xiàn)了顯著提升趨勢(shì)。特別是軍工、汽車(chē)制造企業(yè)在這方面的表現(xiàn)更為突出，其他行業(yè)，如能源、醫(yī)療等領(lǐng)域的固件安全意識(shí)也有明顯提升。
4. 隨著供應(yīng)鏈和勒索復(fù)合攻擊導(dǎo)致企業(yè)敏感數(shù)據(jù)在供應(yīng)鏈上游泄露事件的增多，企業(yè)意識(shí)到很多數(shù)據(jù)泄露、篡改或?yàn)E用問(wèn)題都是從代碼及代碼開(kāi)發(fā)過(guò)程中引入的，并不能完全用企業(yè)級(jí)防護(hù)手段徹底解決。企業(yè)對(duì)代碼及代碼開(kāi)發(fā)過(guò)程中的數(shù)據(jù)安全性要求開(kāi)始增強(qiáng)，以試圖收斂數(shù)據(jù)暴露面，緩解供應(yīng)鏈和勒索等復(fù)合攻擊影響。
5. 由于A(yíng)I落地應(yīng)用的重大突破，用戶(hù)對(duì)AI賦能網(wǎng)絡(luò)安全寄予厚望，主動(dòng)提出大模型和用AI安全助手賦能網(wǎng)絡(luò)安全建設(shè)的相關(guān)需求。

從行業(yè)需求來(lái)看，供應(yīng)鏈安全的用戶(hù)早期主要集中在金融、運(yùn)營(yíng)商、政府和能源等行業(yè)大型國(guó)央企。隨著監(jiān)管、供應(yīng)鏈合規(guī)、測(cè)評(píng)檢測(cè)工作的開(kāi)展，汽車(chē)、能源等行業(yè)的供應(yīng)鏈安全需求逐漸進(jìn)入了快速增長(zhǎng)期。當(dāng)前，不同行業(yè)供應(yīng)鏈安全監(jiān)管力度、建設(shè)進(jìn)度各不相同，需求差異也較明顯。

1.金融、證券行業(yè)

金融行業(yè)作為國(guó)家經(jīng)濟(jì)命脈，對(duì)軟件自主可控性有極高的要求，供應(yīng)鏈安全工作開(kāi)展也較早。應(yīng)用軟件多由自身科技公司負(fù)責(zé)開(kāi)發(fā)，前期大規(guī)模采購(gòu)過(guò)安全測(cè)試工具，安全開(kāi)發(fā)能力相對(duì)完善，目前基礎(chǔ)工具需求相對(duì)平緩，多以二次采購(gòu)、AI能力增強(qiáng)工具為主。

2.運(yùn)營(yíng)商行業(yè)

運(yùn)營(yíng)商是國(guó)家信息基礎(chǔ)設(shè)施的重要支撐，在數(shù)字供應(yīng)鏈中，既是數(shù)字基礎(chǔ)設(shè)施的建設(shè)者也是服務(wù)提供者。供應(yīng)鏈安全早已明確被列入了國(guó)家《網(wǎng)絡(luò)安全法》《關(guān)鍵基礎(chǔ)設(shè)施安全條例》和《數(shù)據(jù)安全法》的審查范疇。作為建設(shè)者，運(yùn)營(yíng)商對(duì)軟、硬件采購(gòu)都有嚴(yán)格供應(yīng)商安全合規(guī)審查機(jī)制，尤其是：核心網(wǎng)絡(luò)設(shè)備安全、軟件威脅檢查。作為服務(wù)商提供者，隨著云服務(wù)、數(shù)據(jù)服務(wù)業(yè)務(wù)的擴(kuò)展，用戶(hù)數(shù)據(jù)存儲(chǔ)、處理需符合數(shù)據(jù)本地化規(guī)定，跨境數(shù)據(jù)流動(dòng)受到限制，其數(shù)據(jù)全生命周期安全管理需求不斷增加?？傮w來(lái)看，運(yùn)營(yíng)商的供應(yīng)鏈安全，包括：網(wǎng)絡(luò)設(shè)備硬件，也涉及軟件、數(shù)據(jù)、服務(wù)多個(gè)方面。隨著數(shù)字化建設(shè)和網(wǎng)絡(luò)安全審查的持續(xù)深入，運(yùn)營(yíng)商一方面采取供應(yīng)商多元化策略，減少對(duì)單一供應(yīng)商依賴(lài)；一方面積極引進(jìn)供應(yīng)鏈安全檢測(cè)的創(chuàng)新技術(shù)，提升基礎(chǔ)設(shè)施自身的安全能力。

3.汽車(chē)行業(yè)

汽車(chē)智能化和歐盟R155法規(guī)（《聯(lián)合國(guó)車(chē)輛網(wǎng)聯(lián)和自動(dòng)駕駛軟件安全法規(guī)》）強(qiáng)制實(shí)施，是近幾年汽車(chē)領(lǐng)域供應(yīng)鏈安全需求快速增長(zhǎng)的重要驅(qū)動(dòng)因素。由于智能汽車(chē)對(duì)數(shù)字化系統(tǒng)的依賴(lài)，車(chē)輛的安全隱患及個(gè)人隱私安全問(wèn)題增多。歐盟自2024年7月起，要求所有車(chē)型強(qiáng)制遵循R155法規(guī)，并適用于58成員國(guó)的所有64個(gè)國(guó)家。法規(guī)詳細(xì)規(guī)定了汽車(chē)信息安全管理體系要求、車(chē)輛信息安全一般要求、車(chē)輛信息安全技術(shù)要求、審核評(píng)估及測(cè)試驗(yàn)證方法等內(nèi)容。對(duì)汽車(chē)生產(chǎn)企業(yè)而言：供應(yīng)鏈中任一環(huán)節(jié)未能通過(guò)法規(guī)審核，可能導(dǎo)致車(chē)型無(wú)法進(jìn)入歐盟市場(chǎng)，甚至面臨召回風(fēng)險(xiǎn)。此外，法規(guī)的實(shí)施還要求企業(yè)建立快速響應(yīng)機(jī)制，對(duì)供應(yīng)鏈中的安全漏洞進(jìn)行實(shí)時(shí)監(jiān)測(cè)與修復(fù)，這對(duì)企業(yè)的數(shù)字化管理能力和應(yīng)急處置能力也提出了更高要求。

4.能源行業(yè)

受“兩部委”安全合規(guī)監(jiān)管影響，能源行業(yè)合規(guī)要求提升，市場(chǎng)需求表現(xiàn)明顯活躍。監(jiān)管措施主要聚焦于關(guān)鍵信息基礎(chǔ)設(shè)施安全、數(shù)據(jù)安全治理，以及供應(yīng)鏈國(guó)產(chǎn)化替代等方面，旨在提升國(guó)家關(guān)鍵行業(yè)的安全韌性。對(duì)電力、石油、天然氣等能源行業(yè)企業(yè)而言，一方面要接受?chē)?yán)格的供應(yīng)鏈安全合規(guī)審查，另一方面要加速推進(jìn)國(guó)產(chǎn)化替代進(jìn)程。整個(gè)行業(yè)面臨著信息安全投入增加和本土供應(yīng)鏈重構(gòu)兩重壓力，網(wǎng)絡(luò)安全及國(guó)內(nèi)能源裝備、工控安全、工業(yè)軟件企業(yè)迎來(lái)發(fā)展機(jī)遇，市場(chǎng)份額擴(kuò)大。

廠(chǎng)商及技術(shù)方向的變化

安全牛通過(guò)廠(chǎng)商側(cè)調(diào)研發(fā)現(xiàn)：當(dāng)前關(guān)注數(shù)字供應(yīng)鏈安全的廠(chǎng)商以開(kāi)發(fā)安全和軟件供應(yīng)鏈安全廠(chǎng)商為主，廠(chǎng)商范圍相比往年變化不大。這也說(shuō)明：國(guó)內(nèi)數(shù)字供應(yīng)鏈安全能力是從開(kāi)發(fā)安全向上構(gòu)建的。過(guò)程中，廠(chǎng)商在努力通過(guò)創(chuàng)新發(fā)現(xiàn)和創(chuàng)新應(yīng)用使傳統(tǒng)開(kāi)發(fā)安全技術(shù)與網(wǎng)絡(luò)安全和數(shù)據(jù)安全需求融合。

（一）廠(chǎng)商研發(fā)重心和技術(shù)方案的變化。隨著傳統(tǒng)代碼安全測(cè)試技術(shù)的成熟，基礎(chǔ)型工具市場(chǎng)競(jìng)爭(zhēng)開(kāi)始白熾化。廠(chǎng)商安全研究焦點(diǎn)逐漸從傳統(tǒng)代碼審計(jì)、軟件加固技術(shù)向固件安全、鏡像安全、數(shù)據(jù)安全、AI代碼安全等新型數(shù)字制品類(lèi)型領(lǐng)域擴(kuò)展。應(yīng)用場(chǎng)景方面，也在從傳統(tǒng)開(kāi)發(fā)安全向供應(yīng)商管理、制品風(fēng)險(xiǎn)管理、數(shù)據(jù)安全等場(chǎng)景化方向轉(zhuǎn)變，這對(duì)廠(chǎng)商工具融合和平臺(tái)化能力也提出一些更高要求。

AI大模型作為一項(xiàng)變革性技術(shù)，在多個(gè)環(huán)節(jié)顯著提升了供應(yīng)鏈安全的治理水平，已經(jīng)得到了行業(yè)共識(shí)。目前，多數(shù)廠(chǎng)商都在積極采用AI賦能基礎(chǔ)型安全檢測(cè)技術(shù)，提升SAST、SCA、IAST等工具的檢測(cè)精度、檢測(cè)效率以及代碼修復(fù)閉環(huán)能力；同時(shí)，也在積極提供創(chuàng)新型方案，如，供應(yīng)鏈安全檢測(cè)工具箱、供應(yīng)鏈威脅情報(bào)、智能開(kāi)發(fā)助手、智能審計(jì)助手等新型手段提升供應(yīng)鏈風(fēng)險(xiǎn)檢測(cè)和響應(yīng)能力。

（二）產(chǎn)品方面呈現(xiàn)有新的產(chǎn)品形態(tài)。產(chǎn)品方面，市場(chǎng)上呈現(xiàn)了檢測(cè)、管理、服務(wù)三類(lèi)典型產(chǎn)品形態(tài)。其中，基礎(chǔ)應(yīng)用安全檢測(cè)工具市場(chǎng)已趨于飽和，市場(chǎng)正朝著工具集成和平臺(tái)化方向發(fā)展；平臺(tái)能力廠(chǎng)商試圖整合測(cè)試工具、供應(yīng)商風(fēng)險(xiǎn)管理、第三方風(fēng)險(xiǎn)管理功能，以提供更全面的供應(yīng)鏈風(fēng)險(xiǎn)管理產(chǎn)品；此外，為迎合供應(yīng)鏈安全監(jiān)管需求，供應(yīng)鏈安全合規(guī)檢查工具和服務(wù)也逐漸成為廠(chǎng)商產(chǎn)品規(guī)劃的重要發(fā)力點(diǎn)。

（三）數(shù)據(jù)安全的“靜默革命”和固件安全的“攻堅(jiān)困境”。在數(shù)據(jù)安全檢測(cè)方面，調(diào)研發(fā)現(xiàn)，供應(yīng)鏈安全廠(chǎng)商，特別是代碼安全測(cè)試工具廠(chǎng)商，在努力研究分解不同的數(shù)據(jù)安全風(fēng)險(xiǎn)類(lèi)型，試圖將數(shù)據(jù)安全檢測(cè)能力迭代到代碼安全測(cè)試工具中，為“數(shù)據(jù)安全前移”提供檢測(cè)能力，目前已經(jīng)實(shí)現(xiàn)了代碼敏感數(shù)據(jù)檢測(cè)。底層數(shù)據(jù)安全能力提升，即源自代碼安全廠(chǎng)商對(duì)風(fēng)險(xiǎn)的敏銳洞察，也是代碼安全廠(chǎng)商自發(fā)的一種責(zé)任感。其背后的努力，經(jīng)常是“擲地?zé)o聲”但“影響深遠(yuǎn)”。

固件安全領(lǐng)域則呈現(xiàn)“高關(guān)注與低效能”的矛盾現(xiàn)狀。盡管?chē)?guó)家戰(zhàn)略層面將固件安全納入關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)重點(diǎn)，且用戶(hù)側(cè)需求持續(xù)攀升，但調(diào)研表明，受制于無(wú)源代碼支撐、反匯編技術(shù)壁壘高、組件供應(yīng)鏈溯源難等結(jié)構(gòu)性瓶頸，當(dāng)前主流固件安全檢測(cè)工具仍面臨自動(dòng)化水平不足、漏洞挖掘效率低下的現(xiàn)實(shí)困境。部分廠(chǎng)商嘗試通過(guò)AI 驅(qū)動(dòng)的二進(jìn)制代碼分析、跨架構(gòu)漏洞特征匹配等創(chuàng)新技術(shù)突破局限，但距形成規(guī)模化應(yīng)用的成熟方案仍有較長(zhǎng)路徑，亟待行業(yè)標(biāo)準(zhǔn)統(tǒng)一與產(chǎn)學(xué)研用協(xié)同攻關(guān)。