Gartner 谈 ASPM：为什么ASPM会成为未来安全核心需求

应用程序安全态势管理 (ASPM) 正逐渐成为一项核心业务需求，而不仅仅是一项小众安全功能。Gartner 最近的创新洞察：应用程序安全态势管理 (ASPM)就是明证，该报告由 Giles Williams、Aaron Lord 和 Dionisio Zumerle 撰写。该报告于 2025 年 1 月发布，作为 2023 年版的更新，预测该类别在未来几年将大幅增长。

Gartner 估计，在受监管的垂直行业中，约有 29% 的组织采用了某种形式的 ASPM。到 2027 年，采用率预计将增长到 80%，这表明我们正处于该类别的重要转折点。这种转变还意味着立即采取行动的组织可以建立强大的安全基础，而犹豫不决的组织可能会难以跟上步伐。

1、为什么 ASPM 是当前的重中之重

由于工具的快速扩散和团队结构孤立，安全和开发团队正努力应对分散的工具，这使得他们很难清楚地了解应用程序风险。这种缺乏可见性的现象使公司机构无法根据业务需求有效地确定安全风险的优先级。

公司机构本身非常清楚这个问题；Gartner 指出，75% 的工程领导者认为 AppSec 对于交付符合业务需求的软件至关重要。但当今的现实是，团队经常要么浪费资源解决错误的漏洞，要么积累大量未解决的安全债务。这两者都无助于建立健康的应用程序安全态势。 

ASPM 通过整合来自多个来源的安全数据、关联整个软件开发生命周期 (SDLC) 中的风险以及使团队能够优先处理真正重要的事情来解决此问题。它消除了开发、安全和运营之间的孤岛，提供了应用程序安全风险的统一视图。

作为 ASPM 领先者，悬镜安全https://fuse.xmirror.cn/推出的一款聚焦于企业软件供应链安全管理体系建设的平台级产品。夫子 ASPM 从顶层视角出发，基于国内外法规政策要求，识别软件供应链管理各重点环节与核心任务，通过平台架构与功能设计，实现借助平台功能的使用完成软件供应链管理重点动作，借助功能的相互支撑实现企业管理体系各部门各角色间的相互配合。最终达 到在平台上建设完成完整的企业软件供应链安全管理体系。

夫子 ASPM 通过供应商风险管理、应用资产知识图谱测绘、安全工具扫描、漏洞影响面分析及优先级排序、漏洞情报、SBOM 管理等功能实现的软件供应制品从引入时的供应商准入评审、软件依赖与组件风险台账梳理、供应商及产品法律合规风险监测、产品源代码缺陷组件风险等漏洞扫描、重大漏洞情报披露相关影响面分析、核心资产风险等级评估等重要场景下的软件供应链安全管理需求。

悬镜夫子ASPM的优势在于：

全面的供应链管理能力平台，覆盖软件生命全流程

夫子 ASPM 从供应商、自研代码、商采软件、开源软件等各个方面综合治理软件供应链风险，从引入时的供应能力评估、成分分析、 缺陷扫描，到应用后的风险情报监测，提供全流程的安全管理能力， 确保每个环节的安全性和合规性。

SAST+SCA 双引擎驱动，保证检出覆盖范围及准确率

夫子ASPM 基于核心自研的源代码AI 多模检测引擎以及源代码与二进制成分分析引擎，结合悬镜专业全面的知识库，精准识别并分析应用软件成分。对于代码编写检测潜在的安全漏洞和代码质量问题，对于应用包二进制文件识别和管理开源组件及其依赖关系，检测各类已知漏洞和许可证合规性问题，保证缺陷、漏洞及许可证的检出率及准确率。

资产图谱依赖关系可视化，多维度呈现风险范围

夫子 ASPM 支持梳理并管控开源组件信息，并从部门、项目、资 产等多角度分析组件的影响范围和依赖关系，通过可视化拓扑图，多维度的展示详细的 SBOM 清单的调用关系，助力使用者快速制定解决 方案。

软件物料清单自动生成，透明化软件供应链资产

夫子 ASPM 支持生成机器可读的、国际通用标准格式的软件物料清单（SBOM），包括 SPDX、CycloneDX、SWID。通过自动化的方式生成 SBOM，帮助企业或团队快速梳理、透明化软件供应链资产。

组件许可合规兼容检测，规避组件引入法律风险

夫子 ASPM 可以识别企业软件内不同类别的开源许可证，基于完善、全面的许可证分析库，对许可证的条款信息及约束进行解读，分析开源许可证的合规或兼容性等风险，帮助企业规避相应的知识产权风险。

供应链威胁情报云端监控，实时告警风险及关联资产

夫子 ASPM 结合在云端的“悬镜大脑”监控众多供应链情报，包括但不限于漏洞、组件、许可证、组件投毒，通过清洗、匹配、关联等一系列自动化数据分析处理后，向夫子 ASPM 及时推送供应链风险情报，并关联用户已有的组件、软件包、应用资产，让用户及时获取影响资产安全的最新供应链风险情报，开展治理工作。

提高供应链透明度，实现数据驱动决策

夫子 ASPM 通过对外部供应商进行安全评估和管理，引入产品全 面的扫描检测，确保供应链各环节的安全性和合规性，通过态势大屏的风险统计、项目资产及其风险漏洞的清单梳理，集成先进的数据分析和报告功能，实现了供应链的全面可视化管理，帮助企业了解供应链的构成和风险，提供有价值的洞察和建议，帮助企业做出科学合理的决策。最终通过直观的仪表盘和可视化视图，使企业能够实时监控和管理供应链的各个环节。

主流信创产品兼容认证，促进企业信创生态建设

信创产品兼容适配是信创建设中关键的一环,通过开展信创领域的产品兼容适配能有力地促进信创生态的建设,推动国产软硬件的加速应用，让信创产品更加容易与信创软硬件结合,降低用户使用难度, 提升自主安全产品的使用效率。源鉴 SCA 产品兼容主流信创操作系统、CPU 架构等基础运行环境，助力企业信创生态建设。

不采用 ASPM 的风险

如果没有 ASPM，公司机构面临的最大风险之一是缺乏对其软件代码库的全面了解。安全团队必须持续跟踪 API、GenAI 框架、身份验证机制以及代码中的敏感数据（如 PII）。如果没有这种洞察力，他们就很难准确评估风险并保持对不断变化的监管要求和行业标准的遵守。

未能实施 ASPM 解决方案会带来真正的业务风险，例如：

未修复的严重漏洞：如果没有 ASPM，安全团队将很难识别和修复最紧迫的威胁，从而导致其代码中存在可利用的漏洞。攻击者越来越多地瞄准未修补的漏洞，许多组织发现自己“通过大量未分化的发现来识别优先漏洞，导致需要评估、优先排序和解决的发现积压很长时间”，正如 Gartner 警告的那样。

浪费资源：安全团队经常被警报淹没，其中许多警报缺乏背景信息。如果 ASPM 不能关联发现并确定实际风险的优先级，工程时间就会浪费在低风险问题上，而关键漏洞仍未得到解决。“组织通常很难确定安全问题的优先级。广泛解决这些问题可以更有效地降低风险，”Gartner 表示。

缺乏可视性：当团队使用不连贯的工具和不一致的数据源时，就会出现安全漏洞。ASPM 整合了开发和生产过程中的洞察，帮助团队实时了解风险。Gartner 强调了这一挑战：“随着应用程序变得越来越复杂，安全工具和职责跨越多个组，对应用程序整体安全状况的可视性变得难以获得。”

随着 ASPM 的采用加速，落后的企业可能难以满足日益增长的安全期望。监管框架正在不断发展，强调持续的安全监控、实时风险管理和主动的软件代码库跟踪。没有 ASPM 的组织可能会在安全弹性和合规义务方面落后。