据QYR最新调研,2022年中国软件供应链安全市场销售收入达到了176.49百万美元,预计2029年可以达到到1,058.71百万美元,2023-2029期间年复合增长率(CAGR)为29.60%。中国市场核心软件供应链安全厂商包括悬镜安全、奇安信、默安等,2022年前三大厂商,占有大约57.69%的市场份额。
根据中国信通院调研结果显示,超过73%的企业关注开源治理体系建设。同时,据云计算开源产业联盟发布的《软件供应链安全发展洞察报告(2024)》,企业及政府等组织以安全为切入点进行软件供应链治理,软件供应链安全市场快速增长。2023年,中国软件供应链安全市场规模达到2.23亿美元,预计2029年将达到10.59亿美元,年复合增长率(CAGR)为29.6%。事实上,不少企业在做开源风险治理时会遇到开源组件管控难、供应链资产依赖庞杂,依赖数量庞大、漏洞修复非常困难、应急响应难等痛点。
根据安全牛发布的《软件供应链安全能力构建指南(2024版)》报告显示:
- 45%左右的调研者表示企业遭到过不同程度的软件供应链风险,半数以上企业表示同时遭受过两个及以上的风险影响。企业面临的软件供应链风险类型中,开源组件及漏洞风险仍是最突出的风险类型。
- 落地建设中用户会更关注厂商的产品、方案、服务能力,在品牌影响力、创新能力方面的关注度相对较小。
- 静态安全测试和DevSecOps敏感开发安全管理工具的采用比例较高,客户满意度也维持相对较高比例;SCA也有一定规模的应用,但满意度还尚有较大提升空间.
- 过去一年,软件供应链安全市场表现整体向好,国内市场规模接近10亿元人民币,增长率超过20%。其中,百人以上中型规模的专精厂商占据了50%以上的市场份额。
其中,在进行软件供应链安全方面的建设时,建议围绕人、流程、环境面临的风险进行全生命周期的安全检测和防护。同时,在不同阶段做好预防、检测、防护和处置等闭环管控措施。
安全牛发布的第十一版网络安全行业全景图中,将开发流程安全管控、DevSecOps、交互式安全测试、静态安全测试、动态/模糊安全测试、软件成分分析列入了软件供应链安全分类中进行体现。
软件供应链安全厂商分类浅析
悬镜安全:起源于子芽创立的北京大学网络安全技术研究团队“XMIRROR”,作为数字供应链安全和DevSecOps敏捷安全开拓者,始终专注于以“AI智能代码疫苗”技术为内核,凭借原创专利级“全流程数字供应链安全赋能平台+敏捷安全工具链+SBOM情报预警服务”的第三代DevSecOps数字供应链安全管理体系,创新赋能金融、车联网、通信、能源、政企、智能制造和泛互联网等行业用户,持续守护中国数字供应链安全。
主要产品简介:
1. 软件成分分析:SCA技术已成为数字供应链开源治理的关键入口。源鉴SCA作为悬镜第三代DevSecOps数字供应链威胁管理体系中开源治理环节的新一代数字供应链安全审查与治理平台,同时拥有自研专利级源码组件成分分析、制品成分二进制分析、容器镜像成分扫描、运行时成分动态追踪、代码成分溯源分析及开源供应链安全情报预警分析等六大核心引擎,多次被Gartner、Forrester等国际权威咨询机构评为SCA技术代表,并连续四年在市场应用率位列第一,并连续四年在市场应用率位列第一,同时也是国内首批通过供应链安全检测工具类-增强级(编号CSPEC-GGJ 2401001)认证,广泛应用于金融、能源、运营商、智能制造、政企及泛互联网等行业头部客户。源鉴SCA能够深度挖掘数字应用及运行环境中潜藏的各类开源风险并提供实时精准的数字供应链安全情报预警能力,帮助企业从引入源头、开发过程、运行监控、管理多维度闭环治理开源威胁,持续守护中国数字供应链安全。
2.静态安全测试:悬镜灵脉SAST白盒代码审计平台作为基于AI多模智能引擎的新一代国际化AI智能静态代码安全扫描产品,灵脉SAST提供源代码缺陷检测、源代码合规检测、源代码溯源检测三大能力,能从源头识别安全风险,帮助企业解决软件开发过程中的安全缺陷、质量缺陷和编码规范缺陷,确保研发团队高质量交付。灵脉SAST融合了SCA双倍AI驱动引擎进行同步检测,检测速度可达百万行/小时,支持检测规则总数突破9000+,与源鉴SCA深度联动实现漏洞可达性分析,漏洞检测误报率低至15%,漏报率低至13%。
3.交互式应用程序安全测试(IAST):灵脉IAST灰盒安全测试平台作为代码疫苗内核驱动的新一代交互式应用安全测试平台,灵脉IAST通过全场景流量分析技术,包括运行时应用插桩(含主动及被动)、启发式爬虫、代理/VPN及流量管家等和原创AI渗透启发技术,在不改变现有IT流程的情况下,赋能开发测试人员,在完成应用功能测试的同时自动化实现业务代码上线前的深度安全测试,重点覆盖90%以上的中高危漏洞,防止应用带病上线,保障数字供应链开发环节的安全运行。
4.RASP:云鲨RASP自适应云防御平台作为代码疫苗内核驱动的新一代应用威胁自免疫平台,云鲨RASP通过专利级AI检测引擎、应用漏洞攻击免疫算法、运行时安全切面调度算法及纵深流量学习算法等关键技术,将主动防御能力“注入”到业务应用中,借助强大的应用上下文情景分析能力,可捕捉并防御各种绕过流量检测的攻击方式,提供兼具业务透视和功能解耦的内生主动安全免疫能力,为业务应用出厂默认安全免疫迎来革新发展。
5.DevSecOps:悬镜夫子ASPM开发安全态势管理平台专注于保护软件应用开发全生命周期的安全性。随着敏捷开发和DevOps的普及,应用程序安全变得愈加复杂,夫子ASPM应运而生,通过持续评估、监控和增强安全态势,帮助企业有效应对不断演变的威胁。夫子ASPM平台通过全面收集和分析安全开发与检测的元数据,精准识别软件风险点,核心功能包括漏洞检测与修复、安全工具自动化编排、敏捷安全管理效果度量等。它能够自动收集和分析安全数据,识别漏洞并根据其严重性和业务影响进行优先级排序,确保关键问题优先处理。同时,通过集成多种安全工具,夫子ASPM提供统一的风险视图和管理接口,简化安全管理工作。此外,平台无缝集成到DevSecOps管道中,促进持续的安全评估和自动化修复流程,提升整体安全效率。最终夫子ASPM平台能通过智能化的安全态势感知和精准的风险管控,赋能企业实现开发安全的敏捷化和体系化管理。
初次之外,悬镜XSBOM供应链安全情报社区是国内专注数字供应链安全风险智能防御的情报研究中心,依托悬镜安全团队强大的数字供应链SBOM全生命周期溯源管理与监测能力、AI应用安全大数据云端分析能力和OpenSCA开源数字供应链安全社区在代码成分安全上的活跃贡献,对全球数字供应链安全态势、投毒攻击事件、组件停服断供风险等进行实时动态监测与深度溯源分析。
可基于云脉XSBOM数字供应链安全情报预警平台或以 SaaS 订阅的方式,为用户提供高级情报查询、情报订阅、可视化关联分析等企业级服务,帮助用户更快更轻松应对各种风险,智能精准预警“与我有关”的数字供应链安全威胁。
随着软件在社会各个领域的广泛应用,软件供应链安全的重要性将持续提升。未来,我们有理由相信,更多创新的解决方案将不断涌现,帮助组织有效应对这一复杂而严峻的挑战。与此同时,行业标准和最佳实践也将进一步完善和成熟,为组织提供更加清晰、明确的指导方向,助力其在保障软件供应链安全的道路上稳健前行。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
