Gartner发布软件供应链安全市场指南：软件供应链安全工具的8个强制功能、9个通用功能及全球代表性供应商

攻击者的目标是由开源和商业软件依赖项、第三方 API 和 DevOps 工具链组成的软件供应链。软件工程领导者可以使用软件供应链安全工具来保护他们的软件免受这些攻击的连锁影响。

主要发现

• 越来越多的软件工程团队现在负责解决软件供应链安全 (SSCS) 需求。

• 软件工件、开发人员身份、开发工具和交付管道之间相互依赖的碎片化网络造成了软件供应链中的可见性差距。

• 不正确的工件完整性验证允许攻击者毒害软件交付管道并危害正在交付的软件。

• 缺乏自动化工具来执行安全策略和检测错误配置，削弱了软件交付过程的安全态势。

建议

负责保护软件供应链安全的软件工程领导者应该：

• 根据 SSCS 工具在整个软件开发生命周期 (SDLC) 中满足三个关键用例的能力（提高可见性、保护完整性和增强安全态势）对其进行评估。

• 通过使用 SSCS 工具通过软件成分分析和软件物料清单 (SBOM) 以及 SDLC 中所有管道活动和交互的审计跟踪来管理第三方风险，从而减少软件供应链中的可见性差距。

• 通过签署和验证构建工件，确保来源数据到位并防止使用不合规的工件，在整个软件交付过程中保护软件的完整性。

• 通过使用 SSCS 工具自动执行 SDLC 中的策略以及检测和解决 DevOps 工具中的配置错误，改善软件交付过程的安全态势。

战略规划假设

到 2028 年，大型企业中 85% 的软件工程团队将部署软件供应链安全工具，而 2025 年这一比例为 60%。

市场定义

Gartner 将软件供应链安全 (SSCS) 工具定义为那些通过在开发和交付过程中防止受到攻击来构建安全软件的工具。这些保护措施扩展到源代码、开发人员身份、开发工具、交付管道和部署后补丁。SSCS 工具通过基于策略的依赖项管理、软件组合分析 (SCA) 和软件物料清单 (SBOM) 检查来降低第三方风险。它们在通过开发和交付管道时通过签名和验证来确保工件的出处和可追溯性。SSCS 工具支持 SaaS 和混合部署模型，并补充 DevOps 平台以提高组织的 DevSecOps 成熟度。

软件供应链超越组织边界，由外部实体和内部系统组成。内部系统包括软件交付管道、软件依赖项和软件开发环境。外部实体包括合作伙伴、开源软件 (OSS) 和供应商。组织对内部系统有更大的控制权，而对外部实体几乎没有控制权。SSCS 工具可保护组织免受内部威胁和受感染的外部实体的侵害。

软件工程团队还可以使用这些工具，通过自动执行安全和合规政策以及自动认证来满足监管和政府要求。政府认识到软件是当今最关键的基础设施。因此，如果对软件的开发方、开发方式和组成部分缺乏了解，不仅会对企业构成危险，还会对整个社会构成危险。

SSCS 工具可帮助组织实现以下切实成果：

1. 识别并减轻因广泛使用开源软件而产生的安全和合规风险。

2. 减少由于对用于软件开发、交付和运行时的工具、环境、管道和基础设施的攻击而导致的开发人员摩擦和生产力损失。

3. 保护组织免受上游软件依赖项的攻击以及下游软件用户的受损产品的攻击。

4. 保护组织的知识产权，这些知识产权越来越多地存在于软件中。

5. 通过使软件交付基础设施可审计以及自动执行应用程序安全策略来满足治理和监管要求。

强制功能

该市场的 8 个强制性特征包括：

开发

• SCA能力：使用SCA识别已知漏洞、软件许可证和运营风险（例如嵌入式 OSS 的可行性、可信度和可维护性），从而降低第三方风险。

• 第一方风险防御：通过扫描内部开发的代码中的秘密和潜在的安全漏洞来降低第一方风险。

• SBOM支持：支持生成、管理和处理软件开发过程中生成和使用的工件的 SBOM。

交付管道

• 完整性保护：通过签署和验证构建工件、源代码提交和可部署二进制文件来保护持续集成/持续交付（CI/CD）管道中的软件完整性。

• 全路径清单：提供准确、完整的开发工具、开发人员身份和软件工件清单，以全面了解从开发到交付的路径。

• 策略自动化：通过检测和修复 DevOps 工具（例如源代码存储库和工件注册表）中的错误配置以及启用或防止使用不合规的工件，自动化策略实施以增强交付管道的安全态势。

部署后

• 溯源能力：启用受影响模块和组件的追溯能力以返回其原始来源。

• 风险监控：监控部署后暴露的新风险和漏洞，并提供活动审计跟踪以检测和从供应链攻击中恢复。

通用功能

该市场的 9 个通用功能包括：

1. 通过应用安全策略和许可证过滤器来支持开源组件的管理，确保仅使用经过批准和审查的开源组件。

2. 支持生成机器可读文档（例如 VEX、CSAF），以便有效披露漏洞并确定影响交付软件的常见漏洞和暴露（CVE）的优先级。

3. 支持可达性分析，通过识别应用程序是否依赖于易受攻击的代码片段和/或受影响的依赖项来分析和确定风险的优先级。

4. 扫描容器镜像来检测安全漏洞并识别违反政策的行为。

5. 支持二进制SCA，无需访问源代码即可识别和扫描开源和专有组件（例如供应商工件）中的漏洞和/或恶意代码。生成的组件库存通过 SBOM 报告。

6. 支持 SBOM 生命周期管理功能，实现多个供应商和消费者通过公共交换点发现、访问和安全交换 SBOM。

7. 检测并防止人类和机器身份对 SDLC 工具和环境的未经授权的访问。

8. 支持提取威胁情报以告知依赖性扫描和使用政策。

9. 触发工作流以替换在构建和部署期间或之后被篡改或受漏洞影响的工件。此工作流可能涉及自动创建用户案例来跟踪升级，并进行相应的升级影响分析。

市场描述

现代软件应用程序很少完全从头开始构建；相反，它们依赖于第三方组件，包括商业和开源软件、API、库、插件和日益生成的 AI 模型。这些依赖关系共同构成了软件的"供应链"。SSCS 涉及减轻与此依赖链相关的风险。

软件供应链还包括用于开发、交付和运营软件的自动化工具、开发环境、开发人员身份和交付管道。这些实体及其交互和关系都带来了另一种风险。请注意，交付管道是臭名昭著的针对tj-actions、SolarWinds和Ultralytics 的软件供应链攻击中的攻击媒介。

为了确保供应链安全，软件工程团队必须了解 SDLC 管道、存储库和工件，保护其完整性并改善应用程序安全态势。SSCS 工具可帮助软件工程团队实现这些成果。

SSCS 并非新兴需求，因为自从开发人员不再依赖自己的源代码和工具以来，软件供应链就一直存在。组织通常使用一组不同的工具和实践来减轻相关风险，例如软件成分分析、应用程序安全测试 (SAST/DAST) 和应用程序安全态势管理。然而，一些问题仍然很大程度上未得到解决，需要专门的能力。例如：

• 软件完整性------确保组件与其声明相符且未被篡改。

• 出处------确定软件组件的来源。

• 可见性------提供 SDLC 中的资产清单和访问权限的全面视图。

• 可追溯性------在 product 流向生产过程时对其进行识别、追踪和追溯。

SSCS 工具通过统一的界面将这些功能整合在一起，该界面与用于软件开发和交付的 DevOps 工具集成。在开发、交付和部署后场景中，确保软件交付管道的安全是确保交付软件安全的先决条件。

市场方向

大多数软件工程领导者将应用程序安全技能评为"高度重要"。在 2025 年 Gartner 软件工程调查中，近三分之二的受访者认为应用程序安全对于交付满足业务需求的软件非常重要。这对 SSCS 工具来说是个好兆头，因为它们解决了应用程序安全中的一个关键挑战------保护软件供应链。

软件供应链的日益复杂以及由此产生的组织与其技术生态系统之间的相互依赖关系也将扩大和加速对 SSCS 工具的需求。根据世界经济论坛的《2025 年全球网络安全展望报告》，软件供应链漏洞正成为生态系统中最大的网络风险。当被问及"复杂性的哪个方面给您的组织带来最大的挑战或担忧"时，复杂供应链相互依赖关系中的漏洞成为最大的挑战。

竞争态势、购买者行为和影响市场的外部力量

• 市场细分之间的重叠度不断增加：建立软件供应链的信任需要整个 SDLC 的可见性、完整性和态势管理。这会导致与相邻市场（如应用程序安全态势管理 (ASPM)、应用程序安全测试和云原生应用程序保护平台 (CNAPP)）重叠。

• 增加内部采购：由于数字产品为组织提供了竞争优势，组织正在将部分软件开发外包。这不可避免地需要投资于 DevOps 相关工具，以及确保完整 SDLC 的工具。软件工程团队将寻求了解其软件供应链并监督其供应商和开源软件的安全级别。

• 分担安全责任：向 CISO 报告的应用程序安全团队传统上是应用程序安全所有方面（包括SSCS）的唯一托管人。近年来，这种情况发生了变化，软件工程团队和平台工程团队与 AppSec 团队共同承担应用程序安全的责任。因此，SSCS 工具承担双重责任，成为跨用户角色的共享事实来源，同时为每个用户角色提供量身定制的功能。

• 国家支持的攻击：许多开源软件很容易受到国家恶意行为者的渗透。因此针对全球各个行业国家支持的软件供应链攻击变得越来越复杂和普遍。这些攻击要么利用了软件本身的漏洞（如Kaseya的情况），要么破坏了 SDLC（如SolarWinds和NotPetya攻击的情况）。SSCS 工具对于降低这些风险至关重要。

• 开放式 AI 模型的使用：开放式大型语言模型 (LLM) 易于访问且将其集成到应用程序中的门槛较低，这为软件供应链风险增加了新的维度。2025年 Gartner 软件工程调查显示，47% 的受访者将 LLM 集成到现有应用程序中。买家将期望SSCS工具能够发现 LLM 的使用情况、扫描模型中的风险并实施政策以防止使用未经批准的 LLM。Gartner预测，到 2025 年，对软件供应链和基础设施技术堆栈的毒害将占企业使用的 AI 恶意攻击的 70% 以上。开源模型和数据科学软件（如Jupyter Notebook或Python库）是新的 AI 攻击媒介。

• 合规和政府授权：世界各地的政府、政策制定者和监管机构都在强制要求进行第三方供应商评估、持续漏洞扫描和 SBOM，以构建可信的软件供应链。强制性法规的例子包括美国政府网络安全行政命令 14144、欧盟网络弹性法案、欧盟 NIS2 指令和联邦食品、药品和化妆品法案 (FD&C 法案)。

SSCS 监管合规工具

组织将使用 SSCS 工具作为主要机制，以确保安全软件开发实践符合法规要求。涉及 SBOM（由 VEX 丰富）和 SLSA 证明的 SSCS 功能使卖方和买方都能遵守政府和法规要求。

市场分析

根据Gartner 2025 年大型企业技术采用路线图调查，60% 的软件工程领导者表示他们已经部署或正在部署 SSCS，另有 12% 正在试用，13% 处于规划阶段。我们的调查显示，与强化 DevOps 管道相比，部署 SSCS 的组织更有可能从代码扫描、机密扫描、软件成分分析和 SBOM 管理开始。

通过工件完整性验证和自动策略实施来强化 DevOps 管道的功能的采用率相对较低。这是因为开发人员在持续集成/持续交付 (CI/CD) 管道中与签名和验证工作流相关的经验一直很差。DevOps 管道中工具的异构性加剧了创建工件证明和确保管道完整性的挑战。

市场规模和细分

Gartner 估计 SSCS 工具的市场规模约为 12 亿美元。该市场由几家知名的软件组合分析、DevOps 平台和云原生应用程序保护平台提供商代表，这些提供商提供捆绑功能以及大量一流的 SSCS 专业提供商。

SSCS 工具市场可以根据其专业功能进行细分：

1. 确保开源软件（OSS）的使用安全

2. 解决 CI/CD 安全风险

代表供应商

在该技术领域的市场评估中，我们重点关注能够同时满足 CI/CD 安全风险、代码源头管控及第三方依赖风险，且产品具有高成熟度的行业代表性供应商。

代表性 SSCS 供应商

供应商	产品、服务或解决方案名称	核心定位与能力覆盖
悬镜安全 (Xuanjing Security)	悬镜软件供应链安全平台 (涵盖二进制SCA/SBOM管理/CI-CD安全管道)	提供全生命周期 SSCS 能力的专业级平台，支持开发、交付管道到部署后的完整链条防护，具备极强的本地化合规落地与自主创新能力。

市场建议

• 缩小信任差距：通过使用 SSCS 工具来提高可见性、保护完整性并增强整个 SDLC 的安全态势，从而缩小信任差距。

• 推进安全软件开发实践：通过将 SSCS 功能集成到 DevOps 管道中以遵守行业认可的准则（例如 SSDF 和 SLSA），推进安全软件开发实践。与应用程序安全团队合作，定义组织的 SSCS 策略，并与平台工程团队合作，在内部 DevOps 工具链中创建安全默认值。

• 合理化工具：通过选择能够与现有的 DevSecOps 工具集成并支持我们市场定义中概述的强制和可选功能的供应商来合理化工具。SSCS 工具供应商从不同的优势地位进入市场，包括 SCA、SBOM 和 SLSA 合规性。