從金融機構的核心交易系統，到智能汽車的控制單元；從能源基礎設施的工控網絡，到運營商的通信骨干網……數字供應鏈已成為現代社會的"神經系統"，而其安全則是數字經濟的"生命線"。

與此同時，黎巴嫩尋呼機爆炸案引發的固件安全憂慮、歐盟R155法規對汽車行業的強制要求、AI技術在安全領域的革命性應用……都在重塑著數字供應鏈安全的格局。

安全牛即將發布的《數字供應鏈安全技術應用指南報告（2025版）》，將帶您深入這個既充滿挑戰又蘊含機遇的產業前沿，揭示數字供應鏈安全的發展趨勢、市場需求和技術創新，助力企業在數字經濟時代筑牢安全防線。

市場規模概況

由于全球數字供應鏈安全監管政策的不斷強化，供應鏈安全作為一個獨立的市場領域正在快速發展。GMI報告指出2022-2023年的市場規模約為21億美元，而另有報告估計2024年市場規模為25.2億美元。

盡管各家報告的具體數字有所不同，但增長趨勢一致：預計未來幾年復合年增長率（CAGR）在10%至12.6%之間?；谶@一增長率，2030年左右，全球市場規模預計將達到49億至51.4億美元。這一增長速度與廣泛的數字化轉型市場和物聯網（IoT）市場的快速擴張相呼應，也反映了數字化經濟轉型對供應鏈安全依賴性的增強。

圖片

在國內，安全牛調研結果顯示：2023年軟件供應鏈安全市場表現整體向好，國內市場規模接近10億元人民幣，增長率在20%左右。這一營收數據與2022年恒州誠思關于中國軟件供應鏈安全市場規模增速預測的數據（2022年178百萬美元，增長29%）相比保守一些，但大體相近。

2024年，由于受大經濟環境影響，企業營收增速整體趨緩。除個別規模較小的企業，由于本身體量較小營收增長較快外，多數企業營收的平均增速在15%左右，相比2023年調研的20%有所下降。營收增長點，主要集中在SCA（軟件成分分析）、合規檢測工具、管理平臺、AI智能審計類產品中。

數字供應鏈是數字經濟發展的“生命線”，其安全關系著數字經濟建設的百年大計。未來三年，安全牛預計：數字供應鏈安全市場的增長節奏將呈現周期性震蕩或階段性起伏，但總體向好的發展態勢。

圖片

用戶及重點行業需求特點

在國內，供應鏈安全市場增長主要是受供應鏈安全態勢升級、政策監管與合規壓力、地緣政治與技術封鎖等因素影響。整體上，市場需求表現有以下幾個方面：

圖片

1. 合規、供應鏈攻擊驅動監管加強，由監管推動市場需求進一步增長，是當前供應鏈市場發展的重要特征。
2. 監管部門以關鍵基礎設施供應鏈安全為核心，逐步完善《網絡安全審查辦法》，并推進落實供應鏈安全審查機制，將軟件供應鏈安全等相關內容納入更全面的網絡安全監管體系中進行考量。受此影響，企業供應鏈安全意識逐漸增強，對供應鏈合規和透明度需求提升。企業不僅關注自研的代碼安全，也更關注外包商風險，外采軟件及第三方引入的數字制品及其組件的安全性和可管理性。
3. 受黎巴嫩尋呼機爆炸案的影響，固件安全的關注程度和檢測需求呈現了顯著提升趨勢。特別是軍工、汽車制造企業在這方面的表現更為突出，其他行業，如能源、醫療等領域的固件安全意識也有明顯提升。
4. 隨著供應鏈和勒索復合攻擊導致企業敏感數據在供應鏈上游泄露事件的增多，企業意識到很多數據泄露、篡改或濫用問題都是從代碼及代碼開發過程中引入的，并不能完全用企業級防護手段徹底解決。企業對代碼及代碼開發過程中的數據安全性要求開始增強，以試圖收斂數據暴露面，緩解供應鏈和勒索等復合攻擊影響。
5. 由于AI落地應用的重大突破，用戶對AI賦能網絡安全寄予厚望，主動提出大模型和用AI安全助手賦能網絡安全建設的相關需求。

從行業需求來看，供應鏈安全的用戶早期主要集中在金融、運營商、政府和能源等行業大型國央企。隨著監管、供應鏈合規、測評檢測工作的開展，汽車、能源等行業的供應鏈安全需求逐漸進入了快速增長期。當前，不同行業供應鏈安全監管力度、建設進度各不相同，需求差異也較明顯。

圖片

1.金融、證券行業

金融行業作為國家經濟命脈，對軟件自主可控性有極高的要求，供應鏈安全工作開展也較早。應用軟件多由自身科技公司負責開發，前期大規模采購過安全測試工具，安全開發能力相對完善，目前基礎工具需求相對平緩，多以二次采購、AI能力增強工具為主。

2.運營商行業

運營商是國家信息基礎設施的重要支撐，在數字供應鏈中，既是數字基礎設施的建設者也是服務提供者。供應鏈安全早已明確被列入了國家《網絡安全法》《關鍵基礎設施安全條例》和《數據安全法》的審查范疇。作為建設者，運營商對軟、硬件采購都有嚴格供應商安全合規審查機制，尤其是：核心網絡設備安全、軟件威脅檢查。作為服務商提供者，隨著云服務、數據服務業務的擴展，用戶數據存儲、處理需符合數據本地化規定，跨境數據流動受到限制，其數據全生命周期安全管理需求不斷增加。總體來看，運營商的供應鏈安全，包括：網絡設備硬件，也涉及軟件、數據、服務多個方面。隨著數字化建設和網絡安全審查的持續深入，運營商一方面采取供應商多元化策略，減少對單一供應商依賴；一方面積極引進供應鏈安全檢測的創新技術，提升基礎設施自身的安全能力。

3.汽車行業

汽車智能化和歐盟R155法規（《聯合國車輛網聯和自動駕駛軟件安全法規》）強制實施，是近幾年汽車領域供應鏈安全需求快速增長的重要驅動因素。由于智能汽車對數字化系統的依賴，車輛的安全隱患及個人隱私安全問題增多。歐盟自2024年7月起，要求所有車型強制遵循R155法規，并適用于58成員國的所有64個國家。法規詳細規定了汽車信息安全管理體系要求、車輛信息安全一般要求、車輛信息安全技術要求、審核評估及測試驗證方法等內容。對汽車生產企業而言：供應鏈中任一環節未能通過法規審核，可能導致車型無法進入歐盟市場，甚至面臨召回風險。此外，法規的實施還要求企業建立快速響應機制，對供應鏈中的安全漏洞進行實時監測與修復，這對企業的數字化管理能力和應急處置能力也提出了更高要求。

4.能源行業

受“兩部委”安全合規監管影響，能源行業合規要求提升，市場需求表現明顯活躍。監管措施主要聚焦于關鍵信息基礎設施安全、數據安全治理，以及供應鏈國產化替代等方面，旨在提升國家關鍵行業的安全韌性。對電力、石油、天然氣等能源行業企業而言，一方面要接受嚴格的供應鏈安全合規審查，另一方面要加速推進國產化替代進程。整個行業面臨著信息安全投入增加和本土供應鏈重構兩重壓力，網絡安全及國內能源裝備、工控安全、工業軟件企業迎來發展機遇，市場份額擴大。

廠商及技術方向的變化

安全牛通過廠商側調研發現：當前關注數字供應鏈安全的廠商以開發安全和軟件供應鏈安全廠商為主，廠商范圍相比往年變化不大。這也說明：國內數字供應鏈安全能力是從開發安全向上構建的。過程中，廠商在努力通過創新發現和創新應用使傳統開發安全技術與網絡安全和數據安全需求融合。

圖片

（一）廠商研發重心和技術方案的變化。隨著傳統代碼安全測試技術的成熟，基礎型工具市場競爭開始白熾化。廠商安全研究焦點逐漸從傳統代碼審計、軟件加固技術向固件安全、鏡像安全、數據安全、AI代碼安全等新型數字制品類型領域擴展。應用場景方面，也在從傳統開發安全向供應商管理、制品風險管理、數據安全等場景化方向轉變，這對廠商工具融合和平臺化能力也提出一些更高要求。

AI大模型作為一項變革性技術，在多個環節顯著提升了供應鏈安全的治理水平，已經得到了行業共識。目前，多數廠商都在積極采用AI賦能基礎型安全檢測技術，提升SAST、SCA、IAST等工具的檢測精度、檢測效率以及代碼修復閉環能力；同時，也在積極提供創新型方案，如，供應鏈安全檢測工具箱、供應鏈威脅情報、智能開發助手、智能審計助手等新型手段提升供應鏈風險檢測和響應能力。

（二）產品方面呈現有新的產品形態。產品方面，市場上呈現了檢測、管理、服務三類典型產品形態。其中，基礎應用安全檢測工具市場已趨于飽和，市場正朝著工具集成和平臺化方向發展；平臺能力廠商試圖整合測試工具、供應商風險管理、第三方風險管理功能，以提供更全面的供應鏈風險管理產品；此外，為迎合供應鏈安全監管需求，供應鏈安全合規檢查工具和服務也逐漸成為廠商產品規劃的重要發力點。

（三）數據安全的“靜默革命”和固件安全的“攻堅困境”。在數據安全檢測方面，調研發現，供應鏈安全廠商，特別是代碼安全測試工具廠商，在努力研究分解不同的數據安全風險類型，試圖將數據安全檢測能力迭代到代碼安全測試工具中，為“數據安全前移”提供檢測能力，目前已經實現了代碼敏感數據檢測。底層數據安全能力提升，即源自代碼安全廠商對風險的敏銳洞察，也是代碼安全廠商自發的一種責任感。其背后的努力，經常是“擲地無聲”但“影響深遠”。

固件安全領域則呈現“高關注與低效能”的矛盾現狀。盡管國家戰略層面將固件安全納入關鍵信息基礎設施防護重點，且用戶側需求持續攀升，但調研表明，受制于無源代碼支撐、反匯編技術壁壘高、組件供應鏈溯源難等結構性瓶頸，當前主流固件安全檢測工具仍面臨自動化水平不足、漏洞挖掘效率低下的現實困境。部分廠商嘗試通過AI 驅動的二進制代碼分析、跨架構漏洞特征匹配等創新技術突破局限，但距形成規?；瘧玫某墒旆桨溉杂休^長路徑，亟待行業標準統一與產學研用協同攻關。