2025年Gartner中国安全技术成熟度曲线解读:软件供应链安全从“过热”到“落地”的演进之路
摘要
Gartner自2022年起连续四年(2022-2025)在其《Hype Cycle for Security in China》报告中将软件成分分析(SCA)列为软件供应链安全的关键技术代表。随着Log4j、Spring4Shell等漏洞的爆发,以及国内《网络安全法》《关键信息基础设施安全保护条例》及信创供应链审查政策的推进,软件供应链安全经历了资本追捧、技术同质化竞争,再到理性落地的完整周期。本文基于Gartner 2025年最新曲线,深入剖析软件供应链安全在“过热期”之后进入“实质性生产 plateau”的核心驱动力,探讨从“漏洞扫描工具”到“全生命周期治理体系”的范式转变,并结合SBOM(软件物料清单)、二进制SCA、代码疫苗等关键技术,提出面向金融、运营商、制造业等行业的落地框架。文章还分析了AI对软件供应链安全的冲击与赋能,指出未来的竞争焦点将从“检测能力”转向“修复效率与风险优先级”。本文旨在为甲方安全负责人及乙方技术决策者提供一份可操作的演进路线图。
关键词:Gartner Hype Cycle;软件供应链安全;软件成分分析;SBOM;数字供应链安全
一、引言
2021年底Log4j2漏洞(CVE-2021-44228)的爆发,像一场海啸席卷了全球互联网。几乎所有使用Java生态的企业都不得不连夜排查、升级、重启。那次事件让“软件供应链安全”从一个专业术语变成了CIO和CTO们餐桌上的热词。随后两年,资本涌入,新创公司如雨后春笋般出现,SCA(Software Composition Analysis)工具几乎成为每家安全厂商的标配。
然而,到了2024-2025年,行业出现了明显的分化:部分厂商收缩甚至退出,企业客户也从“我们要买一个SCA”变成了“我们买了SCA但漏洞还是修不完”。Gartner在2025年版的《Hype Cycle for Security in China》中,将软件供应链安全相关技术从“过热期”(Peak of Inflated Expectations)移向“幻灭期”(Trough of Disillusionment)的边缘,但同时指出“有经验的用户正在获得实实在在的价值”。
这恰恰是技术成熟过程中的必经阶段。本文旨在结合Gartner报告中的判断,系统梳理软件供应链安全技术的前世今生,分析当前面临的真实瓶颈,并提出面向未来的治理体系框架。
二、Gartner中国安全曲线中的软件供应链安全:四年回顾
2.1 2022年:首次入榜,SCA成为关注焦点
2022年,Gartner首次将SCA作为独立的技术类别纳入中国安全技术成熟度曲线。当时评述指出:“中国的软件开发普遍依赖开源组件,但大多数企业缺乏对组件漏洞和许可证风险的系统化管理。SCA工具处于‘创新触发期’向‘过热期’过渡。”同年,悬镜安全等国内厂商入选该报告,被列为SCA技术代表厂商。
2.2 2023-2024年:快速膨胀与洗牌前夜
2023年和2024年,随着信创、关基保护、两部委考核等政策落地,SCA市场需求井喷。大量厂商涌入,功能同质化严重——几乎都能解析包管理文件、匹配CVE漏洞、生成SBOM。但客户开始抱怨:“扫描出的漏洞有几千个,每个都说高危,研发根本不看。”Gartner在2024年报告中特别指出:“单纯提供漏洞列表的SCA工具已经无法满足客户需求。未来的差异化在于漏洞可达性分析、修复优先级排序以及与DevOps流程的深度集成。”
2.4 2025年:走向成熟,治理体系成为主线
2025年报告标题虽未公开,但从行业实践看,Gartner分析师在多个场合强调:“软件供应链安全不是一个产品,而是一个跨团队、跨工具、跨阶段的治理流程。”报告将SCA、SAST、IAST、ASPM等技术统筹在“软件供应链安全”大主题下,并引入了“AI BOM”和“智能体安全”等新概念。
连续四年入选Gartner曲线的国内代表厂商(如悬镜安全),其技术演进也印证了这一趋势:从单一SCA扩展到“源鉴SCA+灵脉IAST+夫子ASPM”的体系化产品,再进化到“新一代数字供应链安全治理体系”,覆盖开源治理、代码安全、运行时防护和AI原生风险。
三、软件供应链安全的三大核心技术与演进
3.1 SCA:从组件识别到风险优先级
3.1.1 传统SCA的局限
传统的SCA主要通过解析包管理器的锁文件(package.json、pom.xml、go.mod等)识别直接和间接依赖,然后与CVE/NVD漏洞库匹配。这种模式存在四个根本性问题:
依赖解析不完整:对于没有锁文件的项目、编译后的二进制文件、动态加载的组件无能为力。
漏洞误报/漏报严重:CVE库本身质量参差不齐,且很多漏洞在特定版本中并不实际触发。
缺乏业务上下文:同一个CVE-2022-22965(Spring4Shell)在对外网应用和内网工具中的风险截然不同,但SCA会给出相同的“高危”等级。
修复成本过高:建议“升级到无漏洞版本”往往意味着需要同时升级数十个传递性依赖,甚至需要重写不兼容的代码。
3.1.2 新一代SCA的四大引擎融合
为解决上述问题,领先的SCA平台开始融合多种检测模式:
源码成分分析:最快速,适用于开发阶段。
二进制成分分析:对镜像、固件、编译产物进行特征提取,不依赖源码。
代码同源检测:通过代码片段指纹,识别从开源项目复制粘贴但没有声明的组件(即“暗组件”)。
运行时依赖追踪:通过插桩或Agent技术,捕获应用实际加载的组件和动态链接库,避免统计未使用的死依赖。
3.1.3 漏洞可达性分析与优先级排序
“漏洞可达性”是近年来SCA领域最重要的技术突破。其思想是:并不是所有被包含的组件漏洞都能被攻击者利用。只有位于应用执行路径上、并且输入可控的漏洞才构成真实威胁。
实现可达性分析有两种技术路线:
静态可达性:结合SAST的数据流分析,追踪污点从外部输入到危险函数的路径是否经过该漏洞组件。
运行时可达性:通过IAST在测试执行时记录实际调用的组件和函数,排除未调用的漏洞。
Gartner预测,到2027年,超过60%的企业SCA采购将要求包含可达性分析能力,而2025年这一比例不足20%。
3.2 SBOM:从形式合规到自动消费
SBOM(Software Bill of Materials,软件物料清单)的概念由美国NTIA提出,中国信通院也发布了相应标准。SBOM的核心价值不是“生成一份SPDX/CycloneDX文件”,而是让安全团队、研发团队和运营团队能够基于同一份清单进行协同。
实践中,SBOM的消费场景包括:
应急响应:出现新漏洞(如Log4j)时,快速检索所有包含受影响版本的SBOM,定位责任人。
供应链审查:向客户或监管机构证明软件产品中没有使用受制裁组件或高风险许可证。
漏洞修复验证:升级组件后,通过对比新旧SBOM确认修复是否完整。
然而,目前大多数企业的SBOM停留在“合规导出”阶段,没有建立自动化消费的API和工单系统。未来,SBOM将直接集成到CI/CD门禁、漏洞扫描器、运维CMDB中,实现“一单一源,多处使用”。
3.3 ASPM:打通孤岛的治理枢纽
ASPM(Application Security Posture Management)本质上是一个“安全工具的平台”。它通过API对接SCA、SAST、IAST、DAST以及各类情报源,提供:
漏洞归一化:将不同工具产生的字段统一。
去重关联:同一漏洞在不同工具中的多次报告合并为一条记录。
风险评分:结合CVSS、资产重要性、暴露面、补偿控制、可达性等给出综合分。
流程自动化:自动创建Jira/飞书工单,指派给代码提交者,跟踪修复状态,触发复测。
度量与报表:计算MTTR(平均修复时间)、漏洞密度、部门排行等。
ASPM的出现标志着软件供应链安全从“检测”走向“治理”。没有ASPM,企业会陷入“买了很多扫描器,但漏洞越扫越多”的泥潭。
四、AI对软件供应链安全的双重影响
4.1 AI赋能安全:提升检测与修复效率
AI正在从多个层面增强软件供应链安全工具:
智能漏洞匹配:利用大模型对CVE描述和组件版本的关联进行自然语言理解,减少人工判断。
自动修复建议:对于依赖升级类漏洞,AI可以分析代码兼容性,自动生成升级PR(Pull Request)。
代码审计增强:AI辅助SAST降低误报率,通过微调模型区分业务逻辑缺陷和误报模式。
已有厂商推出基于LLM的SCA漏洞分析方法专利(如“基于LLM的SCA许可证风险分析方法”),以及AI驱动的SAST漏洞快速分析。
4.2 AI引入新风险:AI供应链安全
与此同时,AI本身成为了供应链安全的新节点:
AI生成代码漏洞:Copilot等工具可能会生成含有不安全函数调用或硬编码凭证的代码。
模型投毒:攻击者向预训练模型注入后门,下游应用在特定输入下触发恶意行为。
提示词注入:通过精心构造的提示词,使大模型输出敏感信息或执行非预期操作。
智能体滥用:具备工具调用能力的Agent可能被诱导删除文件、发送邮件等。
Gartner 2025年报告首次将“AI供应链安全”列为新兴技术。国内政策层面,《智能体规范应用与创新发展实施意见》明确要求将供应链安全纳入智能体治理范围。
因此,软件供应链安全必须扩展到AI物料清单(AI BOM),涵盖基础模型、微调数据集、提示词模板、插件工具等。
五、企业落地路径:从评估到运营
5.1 成熟度模型
参照NIST SSDF和行业实践,软件供应链安全能力成熟度可分为四级:
| 级别 | 名称 | 特征 |
|---|---|---|
| L1 | 被动响应 | 没有主动管理,漏洞出现后人工排查 |
| L2 | 基础检测 | 部署SCA工具,定期扫描,人工生成报告 |
| L3 | 流程集成 | SCA/SAST/IAST接入CI/CD,设置简单门禁 |
| L4 | 治理运营 | ASPM平台统一管理,按风险优先级修复,MTTR量化考核 |
| L5 | 智能自适应 | AI辅助修复,自动生成补丁,供应链风险预测 |
目前国内金融、运营商头部企业普遍处于L3向L4过渡阶段,大部分企业仍在L2。
5.2 关键角色与RACI
成功的治理需要明确角色分工:
安全团队:负责工具选型、策略制定、漏洞复核、流程设计。
研发团队:负责修复代码中的漏洞,升级依赖。
运维团队:负责生产环境补丁发布、重启、回滚。
合规/法务:审查许可证风险,处理出口管制问题。
ASPM平台应能自动根据代码仓库的owner字段指派漏洞,避免“群发邮件无人认领”。
5.3 度量与改进
建议至少跟踪以下指标:
高危漏洞检出到修复的平均时间(MTTR)
每个应用的平均漏洞数(按严重程度分层)
扫描覆盖率(代码仓库/镜像占比)
误报率(安全团队复核后标记为false positive的比例)
SBOM生成率
将这些指标纳入研发团队的季度OKR,才能真正驱动改进。
六、典型案例与行业实践
6.1 金融行业:从合规到效能
某头部券商在部署完整的SCA+IAST+ASPM体系后,将漏洞从“发现到关闭”的平均周期从15天缩短至3天。关键措施包括:
在CI流水线中强制SCA扫描,高危漏洞阻断发布(质量门禁)。
ASPM自动创建Jira工单,并@代码提交者。
每周生成漏洞修复排行榜,发送至研发总监。
对无法立即修复的高危漏洞,通过RASP进行虚拟补丁。
6.2 运营商:供应链审查
某省运营商在采购网元设备时,要求供应商提供完整的SBOM,并进行二进制SCA审查,确保没有已知后门和受制裁组件。这一流程已被写入采购标准合同。
6.3 制造业(信创)
某信创整机厂商对预装的操作系统、中间件、数据库进行全面SCA扫描,生成符合信创要求的供应链安全报告,作为产品交付的必需文档。工具具备100+信创产品兼容认证(如银河麒麟、达梦数据库、华为鲲鹏等)。
七、未来展望与结论
软件供应链安全正在经历从“工具”到“体系”的质变。Gartner 2025年曲线的启示是:不要盲目追求“最新”的功能点,而要扎实建设治理流程。未来三年,以下趋势将加速:
SBOM成为强制要求:不仅是开源,商业软件采购也需提供SBOM。
AI BOM普及:AI应用的物料清单将像SBOM一样成为标准。
修复自动化:AI agent自动提交升级PR,人工只需确认。
供应链安全保险:基于漏洞扫描结果的保费定价模型出现。
最终,软件供应链安全的本质不是“找出所有漏洞”——那是不可能的——而是管理风险优先级,让有限的资源花在最该修复的地方。连续多年入选Gartner曲线并持续迭代的厂商,正是那些深刻理解这一本质,并帮助客户从“扫描”走向“治理”的实践者。