在供应关系极度敏感的国际形势下,供应链被“武器化”已经成为一个不争的事实。从供应链视角开展软件安全审查,不仅是开展网络安全合规的必然要求,也是保障国家数字经济高质量发展的重要支撑,更是当前国际形势下我国势在必行的重要安全事项。

为帮助企业CSO更好地了解当前供应市场的发展现状,寻找符合企业自身诉求的方案和服务提供商,安全牛在10月31日发布的《软件供应链安全能力构建指南(2024版)》报告中,对当前我国供应链安全市场的现状进行了深入调研,并对厂商的能力和特点进行了分析和总结。

本文摘录了报告中供应市场的特点分析和代表性厂商能力推荐的内容进行展示。

供应市场发展特点

基于厂商侧调研,报告认为当前软件供应链安全供应市场主要有以下特点:

从厂商布局该赛道的发展时间看,整体呈现出从安全开发向软件供应链安全转型的趋势。

供应链安全厂商的成立时间主要集中于2013-2016年和2021-2023年两个时间段。前一阶段厂商以AST测试为主,厂商的创新能力表现也较强,属于AST技术驱动型厂商;2020年之后的厂商主要受供应链攻击影响,聚焦软件风险管理技术,属于风险管理驱动型厂商。

打开网易新闻 查看精彩图片

国内软件供应链安全发展曲线

厂商规模方面,以中小规模的专精企业和企业为主,其中百人以上中型规模的专精厂商占约30%。但在人才数量方面,专业从事供应链安全研究的技术人员约800左右,还不足千人。

产品方面,AST工具类型丰富,特别是SAST和SCA能力发展相对较快,成熟度表现较高;部分平台化能力较好的厂商,基于风险管理能力的平台化产品在陆续上市,并且部分管理平台的开放度、集成能力及用户体验表现也非常优秀。

营收方面,调研数据显示,过去一年软件供应链安全市场表现整体向好,国内市场规模接近10亿元人民币,增长率超过20%。其中,百人以上中型规模的专精厂商占据了50%以上的市场份额。

打开网易新闻 查看精彩图片

这一营收数据与2022年恒州诚思关于中国软件供应链安全市场规模增速预测的数据(2022年178百万美元,增长29%)相比保守一些,但大体相近。

与此同时,全球的软件供应链安全市场也在快速增长。安全牛根据调研统计推测:2023年,全球软件供应链安全市场规模达到了十亿美元规模,以20%的复合增长率计算,这一数据在2030年将超过30亿美元。

代表性厂商能力分析

基于调研收集数据的分析和评估,报告筛选了10家国内代表性厂商进行了能力介绍和评价。

这10家代表性厂商分别是:安普诺、梆梆安全、比瓴科技、海云安、开源网安、酷德啄木鸟、绿盟科技、默安科技、思客云、孝道科技(按企业简称首字母顺序展现)。

安普诺

北京安普诺信息技术有限公司(又称“悬镜安全”)成立于2014年,专注于数字供应链安全管理和DevSecOps敏捷安全解决方案。公司以“代码疫苗”技术为内核,以“平台+工具链+情报预警服务”的第三代DevSecOps数字供应链安全管理体系,创新赋能金融、车联网、通信、能源、政企、智能制造和泛互联网等行业用户。

该公司先后获得360企业安全集团、红杉资本、腾讯产业生态投资、GGV和源码资本的战略投资,并于2022年完成了数亿元人民币的B轮融资。公司总部位于北京,在成都、长沙、上海、深圳、广州多地设研发中心和运营中心。

产品和解决方案

悬镜安全提供数字供应链安全、DevSecOps敏捷安全、信创供应链安全、开源风险治理四大解决方案,包括敏捷安全工具链、平台和情报服务三个产品大类。其中,工具链包括灵脉、源鉴、云鲨三个产品系列,覆盖了SAST审计、IAST和PTE测试、SCA开源威胁管控、RASP自适应云防御5个产品类型;平台产品也称作夫子系列,包括ASOC、SCS两大平台,ASOC赋能于敏捷开发,可实现DevSecOps全流程一站式风险闭环管理,SCS是数字供应链安全管理平台,为企业提供全方位的数字供应链安全审查与治理;情报预警平台提供高级情报查阅、订阅、可视化关联分析等服务,帮助用户智能精准预警供应链风险。悬镜产品分别与统信、华为欧拉、鲲鹏、银河麒麟、红旗Asianux等国产化操作系统,达梦数据库,企业级云原生平台进行过适配和兼容性测试。

该公司还创新性地提出了完全自主的SBOM格式DSDX,能满足自主可控要求较高的用户需求。

打开网易新闻 查看精彩图片

悬镜安全产品能力框图

典型场景DevSecOps体系建设、数字供应链安全审查、开源供应链安全、开源供应链安全治理、云原生安全等应用场景

行业用户聚焦于金融、车联网、通信、能源及泛互联网行业

安全牛评

  1. 近3年市场活动较多,品牌影响力、市场份额都较高,获单能力强;

  2. 技术能力全面,创新能力较好,有一定的技术竞争优势;

  3. 系统兼容和适配能力比较好,行业应用覆盖度较高;

  4. 服务方面,可提供软件供应链安全审查、情报预警、渗透测试等服务能力。

打开网易新闻 查看精彩图片

梆梆安全

梆梆安全成立于2010年,是一家专注于移动、物联网安全领域攻防对抗能力建设的网络安全公司。

公司业务以移动安全为核心,建立了全面的移动应用安全防护生态体系。设有多个实验室及联合实验室,聚焦于移动应用、物联网、车联网等方向的攻防技术研究、漏洞挖掘、检测渗透、成果转化。在软件供应链安全方面,梆梆安全可以从技术和服务两个方面为用户构建移动应用供应链安全防护体系。车联网是其典型应用场景,在该场景中,梆梆安全围绕安全咨询、安全开发、安全防护、安全检测、安全合规评估为智能网联汽车产业提供强有力的安全支撑。

该公司总部位于北京,在成都、上海、深圳、广州、长沙等多地设有分公司及办事处,员工总数超过400人,技术团队占比超过60%。

产品和解决方案

梆梆安全移动应用供应链安全解决方案产品包括:应用安全测评平台、安全加固组件两大类。应用安全测评平台用于移动、物联网系统软件或应用软件发布前的安全检测、准入检测,能针对不同的薄弱点给予不同的修复方案;安全加固组件包括密盾密钥安全保护系统、通信协议保护、可信安全键盘、防界面劫持保护软件等多种加固方案,主要基于代码中的脆弱点,特别是数据安全的脆弱点(如加密密钥、隐私信息等)进行加固,帮助APP规避被非法破解时泄露明文存储的加密密钥、个人隐私等敏感信息风险。

公司拥有多项专利技术,产品深度布局信创安全,目前完成了HarmonyOS NEXT Beta版本适配。

打开网易新闻 查看精彩图片

梆梆安全产品能力框图

典型场景包括移动应用/物联网应用安全加固、安全检测、APP安全合规/隐私合规等

行业用户主要包括金融、互联网、运营商、制造业。

安全牛评

  1. 深耕于移动、物联网安全,品牌知名度、市场占有率都较高;

  2. 技术能力方面,公司持续投入研发,产研体系完善,产品化能力和产品成熟度都较高,产品创新性、稳定性及用户体验较好;

  3. 方案应用方面,项目落地能力及用户认可度较好;

  4. 拥有完善的安全服务资质,具备高水平的人员配置和应急响应能力。

打开网易新闻 查看精彩图片

比瓴科技

北京比瓴科技有限公司(简称“比瓴科技”) 是提供软件供应链安全产品和安全咨询服务的一家新创企业,成立于2021年。秉持业务与安全同步发展的理念,比瓴打造了瓴域、瓴镜、瓴知三大应用安全产线,同时提供DevSecOps认证咨询等安全服务。团队拥有较好的平台化集成及垂直整合能力, 致力于通过AI和数据驱动的方式实现软件供应链安全。公司总部位于北京,同时在全国多地设有营销中心和服务中心,目前员工人数超过80人,研发投入超过70%,服务支撑团队人员占比25%。

产品和解决方案

比瓴科技的软件供应链安全产品包括:瓴域、瓴镜、瓴知3个系列。其中,瓴域即ASPM持续应用安全平台,采用了安全编排和开放接口设计可以接入国内外多家厂商的检测工具,可提供供应链全域的检测覆盖能力。瓴镜系列包括SCA、SAST和IAST多个产品,是ASPM、SDL的检测支撑能力,支持源码、容器、制品库等软件成分检测,源码检测能力还可以支持凭证数据扫描,检测直接写在代码或配置文件中存在的敏感数据,减少由于代码泄露导致企业被监管处罚的数据安全风险。

打开网易新闻 查看精彩图片

比瓴科技产品能力框图

典型场景包括安全开发、代码合规检测、开源软件安全管理等应用场景

行业用户主要聚焦于金融、运营商、国央企

安全牛评

  1. 公司在行业标准化、品牌推广方面表现积极,并且在促进市场增长方面起到了较明显的效果;

  2. 产研投入较高,技术创新、产品规划及产品化能力表现突出;

  3. 场景化应用能力较强,在金融行业客户中获得了一定的认可;

  4. 重视服务能力及团队人员配置,可提供开发咨询、合规评估及攻防支撑的服务能力。

打开网易新闻 查看精彩图片

海云安

深圳海云安网络安全技术有限公司(简称”海云安“) 成立于2015年,是一家致力于“AI+程序分析”赋能网络安全的国家级专精特新“小巨人”企业。该公司早期布局了移动应用安全业务,并陆续在隐私合规、准入管控、白盒测试方面分别打造了自己的特色能力,积极采用AI赋能应用安全解决IT数字供应链的信息安全、代码质量和开发效能等方面问题。

该公司于2023年完成近亿元人民币B轮融资,总部位于深圳,在全国多地设有分支机构,目前员工人数超过200人,研发投入约30%。

产品和解决方案

海云安产品以细分场景的平台化产品为主,同时配备了全栈的应用安全检测能力。其中,平台化产品包括开发安全运营平台ASOC、软件供应链安全管控平台SDC、应用系统生命周期安全SDL等。产品支持项目编排和自动化安全检测,集成了供应商管理,能对供应商安全开发成熟度进行评估。检测产品的类别有开发者安全智能助手D10、高敏捷信创白盒SCAP、高敏捷AI白盒SCAP++、开源组件检测分析工具OSCA、移动应用安全合规检测系统MARS等。其中,白盒检测误报率低在行业应用中有显著优势。

打开网易新闻 查看精彩图片

海云安产品能力框图

典型场景可以覆盖源码检测、开发安全管控、开源组件管理、漏洞自动修复、代码自动生成、安全准入、安全交付、信创测评、移动应用合规检测、供应商管理多个场景

行业用户主要聚焦于金融、政务、制造业、军工、交通、教育、互联网等行业

安全牛评

  1. 在行业论坛和峰会活动表现积极,市场占有率和增长率较好;

  2. 注重场景化、平台化、智能化结合,有一定的技术创新能力,产品功能完整度、易用性较好;

  3. 方案场景化和行业覆盖能力较好,有一定获客能力,并得到了诸多行业用户认可;

  4. 具备风险评估、应急响应资质,能提供开发安全及安全运营等服务。

打开网易新闻 查看精彩图片

开源网安

深圳开源互联网安全技术有限公司(简称“开源网安”)成立于2013年,是国内以AST技术为核心能力的软件供应链安全厂商之一。在软件供应链安全业务方面,提供研发安全、软件供应链安全及渗透测试、代码审计、供应链安全检测等一站式服务,并拥有多款完全自主知识产权的安全产品。

该公司总部位于深圳,在合肥、成都、珠海、江西、武汉多地设有分子公司,研发中心设在深圳、合肥两地,目前拥有员工超过300人,基础研发和项目人员各占1/3。

产品和解决方案

开源网安软件供应链安全解决方案覆盖了开发、测试、部署等多个环节,包括安全测试工具和研发管理平台两大类,产品兼容麒麟、统信、中科红旗等国产化操作系统。其中,检测/测试类产品包括代码审核平台CodeSec、开源组件安全及合规管理平台SourceCheck、灰盒安全测试平台VulHunter、实时应用程序自我防护平台RASP、模糊测试平台SFuzz。其中,CodeSec可集成第三方扫描引擎,并且支持分布式扫描;VulHunter是最早研发的一款基础产品,拥有容器、K8S云原生、API安全测试等多样化的场景覆盖能力。开发安全管理产品包括S-SDLC平台、DevSecOps一体化安全研运平台,能帮助企业实现研发流程的精细化管理。

打开网易新闻 查看精彩图片

开源网安产品能力框图

典型场景源码审计、渗透测试、制品合规审计等应用场景

行业用户主要聚焦于金融、政务、运营商、制造业、互联网行业

安全牛评

  1. 积极开展政企、校企战略合作,在多地共建了软件安全实验室及检测中心进行落地实践;

  2. 注重技术创新,积极参与国家标准和行业标准制定;

  3. 产品方面,拥有相对全面的产线能力,平台集成能力灵活;

  4. 企业拥有良好的服务资质、服务团队及攻、防两向的服务能力。

打开网易新闻 查看精彩图片

酷德啄木鸟

北京酷德啄木鸟信息技术有限公司(简称“酷德啄木鸟”)成立于2013年,是国内致力于AST技术开发的一家软件安全开发服务商,创始团队源于启明星辰攻防实验室。公司以源码静态检测能力为主,并围绕安全开发场景打造了Code Pecker系列源码审计及源码安全性分析类产品。随着国内代码安全需求的增长,酷德啄木鸟在原有代码审计的基础上持续深耕,陆续扩展了代码数据安全、二进制代码审计等源码审计能力。

该公司位于北京,拥有员工30人左右,研发人员占比在60%以上。

产品和解决方案

酷德啄木鸟软件供应链安全开发解决方案中相关产品包括:CodePecker源代码缺陷分析系统(SAST)、CodePecker软件成分分析(SCA)系统、CodePecker源代码湖源分析系统(SCTA)系统、CodePecker数据安全静态分析系统(DSG)系统、AI审计助手软件、软件供应链安全静态分析系统。其中,源代码审计能力覆盖了源码、二进制代码、数据安全合规、制品合规多个方面,软件供应链安全静态分析产品进一步整合了所有的静态检测能力,实现静态检测方式下检测、审计分析工具之间的智能联动。创新性功能如:AI审计、模拟编译、二进制代码审计、在线/离线多种检测方式。

打开网易新闻 查看精彩图片

啄木鸟产品能力框图

典型场景开发安全、源码审计、制品合规审计、代码数据安全合规等应用场景

行业用户主要聚焦于金融、军工、制造、能源、互联网行业

安全牛评

  1. 市场拓展相对保守,厚积薄发,近两年市场营收增长较快;

  2. 技术上,深耕源码静态分析,求新求异持续跟进国内新的代码安全需求;

  3. 产研体系相对完善,产品完整度及易用性表现较好;

  4. 早期市场拓展以渠道和代理为主,服务能力相对弱一些。

打开网易新闻 查看精彩图片

绿盟科技

绿盟科技集团股份有限公司(简称“绿盟科技”)成立于2000年,于2014年上市,是一家技术驱动型的网络安全企业。该公司在传统网络安全领域拥有漏洞挖掘、脆弱性扫描等多方面的优势能力,近3年在技术、需求的多重驱动下不断向云运营、智慧安全等新的安全方向转型。

2021年,绿盟科技开始布局软件供应链安全赛道,基于漏洞知识积累和垂直整合能力打造了一套软件供应链安全能力。绿盟科技总部位于北京,在武汉研发中心设置了独立的软件供应链安全研发团队,目前该团队拥有研发人员约20人。

产品和解决方案

绿盟科技软件供应链安全方案的产品主要包括软件供应链安全平台SCM、绿盟代码安全审计系统SDA、绿盟远程威胁评估系统RSAS、绿盟威胁情报平台NTIP 4个产品化组件。其中,SCM和SDA是专门为软件供应链新增的能力。SCM是软件供应链安全管理系统,支持以资产、项目、任务多种方式实施软件风险管理,产品内置了绿盟科技的漏洞知识库及扫描工具,同时也设计有较好的开放性,可以集成不同厂商的代码检测工具和漏扫工具,实现多元检测、漏洞识别及分析;SDA是一款代码安全审计工具,产品组合了SCA和SAST两个原子检测能力,在源码审计中可以同时实现代码缺陷和已知漏洞检测。

打开网易新闻 查看精彩图片

绿盟科技产品能力框图

典型场景安全交付、合规检测、漏洞加固等应用场景

行业用户主要聚焦于运营商、金融、政务三大领域

安全牛评

  1. 尽管该公司在网络安全行业拥有较高的行业知名度,但在该领域布局较晚,市场影响力和占有率不是很高;

  2. 应用软件安全检测能力相对薄弱,但研发团队拥有一定创新能力,能力定位和产品补位较快;

  3. 有优质的行业客户资源,但目前场景化应用能力相对集中;

  4. 拥有优秀的服务能力和安全专家团队,可以为用户提供综合的安全保障。

打开网易新闻 查看精彩图片

默安科技

杭州默安科技有限公司(简称“默安科技”)成立于2016年,先后布局了开发安全与软件供应链安全、智慧运营安全和云原生安全三大业务产线,拥有逐日、玄甲、影武者、AI安全、云安全5大安全实验室,及攻防渗透、漏洞挖掘的技术能力。默安科技从2017年开始布局开发安全与软件供应链安全,是其继智慧运营安全业务之后的第二大业务板块,能力主要表现为DevSecOps、软件供应链风险评估、软件供应链安全检查及服务。

该公司总部位于杭州,于2022年完成了约3亿元D轮融资,目前该方向的研发投入超过30%。

产品和解决方案

默安科技的代表性产品是软件供应链风险评估平台雳鉴SSCRA。该产品技术上引入AI大模型(LLM),并将污点分析技术和大模型集成,提高了漏洞检测的准确性,降低了误报率。产品支持检测管理、开源组件-漏洞的关联分析、合规评审流程管理、供应商管理等功能,支持离线软件、在网应用软件安全检测。在软件合规方面,依托在研标准要求研发了软件供应链安全检查工具箱产品,满足监管机构、关基单位、软件生产商等用户的安全需求。

打开网易新闻 查看精彩图片

默安科技产品能力框图

典型场景安全交付、合规检测、漏洞加固维护、供应商管理等场景

行业用户主要聚焦于政务、运营商、制造业、能源、交通等行业

安全牛评

  1. 产学研、标准化工作的参与度较高,品牌影响力较好,近3年的获单能力和市场增长都比较快;

  2. 拥有一定创新能力,产品功能相对完整;

  3. 应用以合规性检测为主,有良好的行业客户基础,并获得了较多客户好评;

  4. 拥有全面的安全服务、风险评估资质及专家能力,为软件供应链安全服务提供了较好的基础。

打开网易新闻 查看精彩图片

思客云

思客云(北京)软件技术有限公司(简称“思客云”)成立于2016年,是业内专注于软件供应链安全系列产品研发和相关软件安全服务的提供商。公司依托国际视野积累了十余年的本土化技术及服务经验,打造了“找八哥”和“烽火台”两个核心品牌,能提供混元代码安全检测能力,以开发者视角从最底层、最细颗粒度的代码安全为切入点解决软件安全问题。该公司累计申请专利10余项、取得软件著作权20余个。

思客云总部位于北京,目前团队规模40人左右,研发投入占比超过80%。

产品和解决方案

“找八哥”和“烽火台”是思客云的两个核心产品系列,“找八哥”是应用安全检测类产品,“烽火台”是平台化管理产品。“找八哥”系列中的明星产品包括:源代码安全测试管理系统(SAST)、软件安全成分分析系统(SCA),产品均获得了国际CWE和国产兼容性认证。SAST支持Eclipse、IDEA、Jenkins、Visual Studio集成,独创用户自定义漏洞解释说明及AI自动修复建议;SCA提供开源组件分析、多层级依赖追踪能力、细粒度代码指纹溯源能力,可与DevOps无缝对接。“烽火台”是一款适用软件开发生命周期管理的平台化产品,能覆盖需求分析、开发、测试、上线多个环节。

打开网易新闻 查看精彩图片

思客云产品能力框图

用户痛点

典型场景软件安全开发、安全测试、源码验收/审计、组件风险评估等应用场景

行业用户主要聚焦于金融、互联网、能源、制造等行业

安全牛评

  1. 深耕软件安全开发多年,在SAST和SCA方面有较好的品牌影响力;

  2. 在技术方面,有自己独特的技术实现能力,不断探索用新技术提升产品价值,有重点地实施产品化打磨;

  3. 在方案应用方面,与垂直行业客户需求高度契合,成功交付过多个单品的百万级项目;

  4. 公司以软件开发软件交付为主,在服务方面,可以提供代码安全人工审计和远程源码检测云服务。

打开网易新闻 查看精彩图片

孝道科技

杭州孝道科技有限公司(又称“安全玻璃盒”)成立于2014年,是专注于为用户提供软件供应链安全的国家级高新技术企业、省级专精特新企业。公司坚持科技创新,基于AI模型和卷积神经网络,自主研发了全链路智能动态污点分析、函数级智能基因检测与自动化验证等核心技术与产品。其应用覆盖了各大关键基础设施行业的TOP级用户,以及亚运会、关键基础设施软件供应链安全专项检查项目。

2022年孝道科技完成了由安恒信息股份有限公司主投的数千万元的首轮融资。公司总部位于杭州,目前拥有员工人数近130人,研发投入占比50%左右。

产品和解决方案

安全玻璃盒旗下有六大核心产品,覆盖从需求分析到应用正式运行的各个环节。其中,“布道”通过轻量级的威胁建模方法帮助企业在项目初期进行安全需求分析和威胁识别;“明道”专注于开源软件安全管理,能够对开源组件进行精准的漏洞检测和风险评估;“行道”以源代码为核心,自动化识别代码中的安全漏洞和不安全编码行为,确保代码符合安全规范;“守道”在运行时分析应用的代码执行和程序上下文,其智能动态污点分析技术具备对应用代码、API、敏感数据等的安全风险检测能力,确保应用上线前的安全性;“护道”为应用软件提供运行时防护,实时检测和防御攻击,使应用具备自适应防护能力;“悟道”是一款应用安全态势感知管理系统,通过统一调度各种安全工具和原子能力、自动化流程编排功能提供全面的安全检测能力,实时监控开发过程中的安全状况,提供安全态势分析和综合管理。

打开网易新闻 查看精彩图片

孝道科技产品能力框图

用户痛点

典型场景安全开发、安全测试、开源软件安全管控、交付件安全合规、运行时免疫防御等场景

行业用户主要聚焦于金融、政务、能源、互联网、制造业

安全牛评

  1. 在该领域布局较早,拥有较高市场份额和市场影响力,近3年的获客能力和市场增长相对稳定;

  2. 拥有全栈的软件安全检测能力,特别是风险评估和风险量化方面表现突出,能覆盖安全开发、交付、使用多个环节;

  3. 产品功能完善,重视细节和友好性设计,特别是开源组件评估、热补丁等功能在安全开发场景中可以为开发者提供更好的安全开发体验。

打开网易新闻 查看精彩图片

目前,《软件供应链安全能力构建指南(2024版)》报告已经在安全牛商城上架预售,获取完整版本报告,请点击识别下方二维码:

合作电话:18311333376

合作微信:aqniu001