原创 安全牛

在供应关系极度敏感的国际形势下，供应链被“武器化”已经成为一个不争的事实。从供应链视角开展软件安全审查，不仅是开展网络安全合规的必然要求，也是保障国家数字经济高质量发展的重要支撑，更是当前国际形势下我国势在必行的重要安全事项。

为帮助企业CSO更好地了解当前供应市场的发展现状，寻找符合企业自身诉求的方案和服务提供商，安全牛在10月31日发布的《软件供应链安全能力构建指南（2024版）》报告中，对当前我国供应链安全市场的现状进行了深入调研，并对厂商的能力和特点进行了分析和总结。

本文摘录了报告中供应市场的特点分析和代表性厂商能力推荐的内容进行展示。

供应市场发展特点

基于厂商侧调研，报告认为当前软件供应链安全供应市场主要有以下特点：

从厂商布局该赛道的发展时间看，整体呈现出从安全开发向软件供应链安全转型的趋势。

供应链安全厂商的成立时间主要集中于2013-2016年和2021-2023年两个时间段。前一阶段厂商以AST测试为主，厂商的创新能力表现也较强，属于AST技术驱动型厂商；2020年之后的厂商主要受供应链攻击影响，聚焦软件风险管理技术，属于风险管理驱动型厂商。

【图】国内软件供应链安全发展曲线

厂商规模方面，以中小规模的专精企业和企业为主，其中百人以上中型规模的专精厂商占约30%。但在人才数量方面，专业从事供应链安全研究的技术人员约800左右，还不足千人。

产品方面，AST工具类型丰富，特别是SAST和SCA能力发展相对较快，成熟度表现较高；部分平台化能力较好的厂商，基于风险管理能力的平台化产品在陆续上市，并且部分管理平台的开放度、集成能力及用户体验表现也非常优秀。

营收方面，调研数据显示，过去一年软件供应链安全市场表现整体向好，国内市场规模接近10亿元人民币，增长率超过20%。其中，百人以上中型规模的专精厂商占据了50%以上的市场份额。

这一营收数据与2022年恒州诚思关于中国软件供应链安全市场规模增速预测的数据（2022年178百万美元，增长29%）相比保守一些，但大体相近。

与此同时，全球的软件供应链安全市场也在快速增长。安全牛根据调研统计推测：2023年，全球软件供应链安全市场规模达到了十亿美元规模，以20%的复合增长率计算，这一数据在2030年将超过30亿美元。

代表性厂商能力分析

基于调研收集数据的分析和评估，报告筛选了10家国内代表性厂商进行了能力介绍和评价。

这10家代表性厂商分别是：安普诺、梆梆安全、比瓴科技、海云安、开源网安、酷德啄木鸟、绿盟科技、默安科技、思客云、孝道科技（按企业简称首字母顺序展现）。