Gartner 2024中国网络安全技术成熟度曲线：SCA技术代表厂商

最新推荐文章于 2025-03-11 09:10:49 发布

软件供应链安全指南

最新推荐文章于 2025-03-11 09:10:49 发布

阅读量611

点赞数 5

分类专栏：软件供应链安全实践文章标签：安全开源

本文链接：https://blog.csdn.net/lanoukejijiaoyu/article/details/145552508

版权

软件供应链安全实践专栏收录该内容

31 篇文章

订阅专栏

近日，国际研究机构Gartner®发布《2024中国网络安全技术成熟度曲线》（“Hype Cycle® for Security in China, 2024”）报告，深入分析了中国网络安全技术的成熟度曲线，涵盖软件成分分析（SCA）、数据风险评估（DRA）、数据安全治理（DSG）、违规和攻击模拟（BAS）等17个技术领域。报告旨在帮助首席信息官（CIO）和技术领导者识别技术趋势，优化安全投资，确保业务成功。

报告中显示，5-10年内，SCA技术将被企业主流采用，助力企业实现跨行业开展业务新方式，从而产生行业动态的重大转变。本次报告中，悬镜安全被Gartner列为SCA代表厂商。

报告表明：

•在数字化时代，中国软件开发中开源组件的广泛应用凸显了SCA的重要性。

•很多组织开始使用SCA去支持开源软件（OSS）的有效使用，包括精准识别潜在漏洞，确保软件组件的适当许可，从而增强对软件供应链的信任。

•仍有大部分企业未将SCA引入其软件开发流程中，不仅拖慢了软件交付进度，甚至可能将潜在的安全隐患引入生产环境。

Hype Cycle® for Security in China, 2024

SCA正处于潮头：引起足够的关注和兴趣

在数字化时代，以开源为主导的开发模式已成为应用开发新趋势，在帮助企业降本增效的同时，也将开源安全问题引入了软件供应链，为了更好地通过开源软件提升生产力，需要采用SCA技术保证软件供应链的安全性。

软件成分分析（SCA）是开源治理中最核心的工具，也是数字供应链安全的管理入口。作为数字供应链安全管理入口，SCA工具具有以下能力：

（1）管控数字供应链在引入、生产、分发、交付环节全流程数字资产的安全风险。

（2）结合供应链安全情报，进行数字供应链组件资产的持续性风险评估和紧急漏洞事件的快速响应。

（3）根据清单进行物料成分一致性确认和开源风险治理，帮助建立DevSecOps敏捷安全体系和SDL安全开发体系。

（4）输出透明化的数字应用组件资产及风险清单，针对性建立安全可信SBOM库。

根据Gartner描述，仍有组织尚未充分利用软件成分分析（SCA）的功能来融入其现有的软件开发流程中，这一现状不仅拖慢了软件交付的速度，还可能因之前绕过或忽视SCA工具的使用而将潜在的安全隐患引入生产环境。但Gartner也同样描述到，在中国已经有越来越多的企业开始主动采用SCA产品。

例如，悬镜安全所服务的金融领域，由于特殊的行业定位，金融行业的技术架构需要时刻处于绝对安全的空间当中，但由于开源组件天然存在的一些风险隐患，加之企业自身缺少对应开源组件的管理机制和治理体系，导致金融企业在应用开源组件带来的开发敏捷、高效的同时，需要抽出大量精力以满足来自监管层面和业务安全层面的双重压力。对于金融企业来说，SCA技术正是金融行业完善自身开源治理体系重要的核心切入点，在企业软件供应链资产管理、漏洞管理以及开源合规治理工作方面起着重要作用。

当然，不止是金融，在能源、通信、智能制造、泛互联网等领域企业包括畜牧业等传统企业的数字化进程均在加快，软件应用率也大幅提升，这也意味着开源风险治理工作已成为各行业关注的焦点。

悬镜安全源鉴SCA开源威胁管控平台，闭环治理开源威胁：同时拥有自研专利级源码组件成分分析、制品成分二进制分析、容器镜像成分扫描、运行时成分动态追踪、代码成分溯源分析及开源供应链安全情报预警分析等六大核心引擎，能够深度挖掘开源组件中潜藏的各类安全漏洞及开源协议风险并提供实时精准的数字供应链安全情报预警能力。依托于源鉴SCA的核心能力，悬镜安全创立了全球首个开源数字功能供应链安全社区OpenSCA，OpenSCA专注安全开发与开源治理实践，为全球用户提供一站式审查治理、SaaS云分析和精准情报预警的开源数字供应链安全赋能。OpenSCA开源社区用户主要来自泛互联网、车联网、金融、能源、运营商等行业。

基于其深厚的技术实力和产品应用实践，悬镜源鉴SCA连续多次被Gartner、 Forrester等国际权威咨询机构评为SCA技术代表厂商，并在国内首家通过网络安全等级保护与安全保卫技术国家工程研究中心与公安部第三研究所网络安全等级保护中心《软件成分分析系统技术规范》检测评估，荣获供应链安全检测证书工具类-增强级（证书编号CSPEC-GGJ2401001）认证证书；OpenSCA开源社区先后被评为Gitee-GVP最有价值开源项目和全球十大开源软件产品。

参考来源：Gartner, Hype Cycle® for Security in China, 2024, August 2024

声明：Gartner 并未在其研究报告中支持任何供应商、产品或服务，也并未建议科技用户只选择该等获最高评分或其它称号的供应商。Gartner 的研究报告含有 Gartner 研究与顾问组织的意见，且该意见不应被视作事实陈述。就该研究报告而言，Gartner 放弃做出所有明示或默示的保证，包括任何有关适销性或某一特定用途适用性的保证。