近日，中国网络安全行业专业媒体安全牛正式发布《软件供应链安全能力构建指南（2024版）》报告，悬镜安全作为DevSecOps软件供应链安全领域领导者，牵头并主导参与了多项国家软件供应链安全行业标准的制定，并打造了全球首个数字供应链开源社区OpenSCA，发布国内首个软件物料清单(SBOM)格式“数字供应链数据交换格式-DSDX (Digital Supply-chain Data Exchange）。凭借沉淀多年的AI智能代码疫苗技术与全栈供应链安全产品市场应用方面的显著领先优势，悬镜安全以第三代DevSecOps数字供应链安全管理体系为核心驱动，持续引领软件供应链安全领域代表性厂商。

安全牛基于应用安全领域的研究积累和厂商支持编写了《软件供应链安全能力构建指南（2024版）》报告，在报告研究过程中采用了问卷、访谈、产品演示，并结合了定量、定性及统计分析等研究方法。报告指出，随着漏洞挖掘技术和攻击手段的不断发展，漏洞利用的门槛逐步降低，软件供应链攻击日益猖獗，原本存在的供应链脆弱性更加显现。攻击者通过在供应链上投放恶意代码、植入木马等方式，可更精准地实现定向威胁、信息窃取和勒索攻击等目的。近年来的多起安全事件进一步证明了软件供应链攻击的严峻态势，尤其是在国际形势复杂、供应关系高度敏感的背景下，供应链“武器化”已成为不可忽视的事实。

2024年度软件供应链安全领域十大代表性厂商

以下为报告原文引用： 

基于调研收集数据的分析和评估，报告筛选了10家国内代表性厂商进行了能力介绍和评价。这10家代表性厂商分别是：安普诺（悬镜安全）、梆梆安全、比瓴科技、海云安、开源网安、酷德啄木鸟、绿盟科技、默安科技、思客云、孝道科技。

点击原文安全牛-我国软件供应链安全供应市场特点分析及代表性厂商推荐（2024版）

悬镜安全在全球范围内首创专利级代码疫苗技术，作为数字供应链安全领域的关键核心技术，其旨在将智能风险检测和积极防御逻辑注入到运行时的数字应用中，如同疫苗一般与应用载体融为一体，使其实现对潜在风险的自发现和对未知威胁的自免疫。通过深度学习和大规模预训练模型，代码疫苗技术可以实时分析应用行为特征，智能识别异常模式，并持续优化防御策略。独创的 AI 智能决策引擎可在毫秒级完成威胁研判，并自动生成最优防御策略，实现全天候、无人值守的智能防护。凭借强大的 AI 自适应能力，系统能够自主进化、持续优化防御规则，有效应对不断变化的网络威胁。代码疫苗技术在数字供应链积极防御体系中的应用研究，实现了相关重大技术在 0 DAY 漏洞防御、API 挖掘分析、代码疫苗热补丁等难点技术上的突破，解决了下一代数字免疫体系在“内生自免疫、敏捷自适应、共生自进化”等关键特性上的技术瓶颈，填补了国内在数字供应链安全领域的自有技术空白并解决了关键卡脖子问题，以“基于代码疫苗技术的智能单探针专利布局”为核心的发明专利更获得了来自北京市科委、中关村管委会的高度认可与大力支持。

8AI智能代码疫苗技术实现流程图

相关内容点击阅读 安全共生 代码疫苗关键技术浅析 

悬镜安全作为国内数字供应链安全开拓者，于2021年开创性提出“用开源的方式做开源风险治理”，并重磅创建了全球极客开源数字供应链安全社区OpenSCA，作为悬镜安全旗下源鉴SCA开源威胁管控产品的开源版本，OpenSCA是国内用户量最多、应用场景最广的开源SCA技术（中国信通院《中国DevOps现状调查报告2024》）。通过软件码纹分析、依赖分析、特征分析、引用识别与开源许可合规分析等综合算法，深度挖掘开源供应链安全风险，智能梳理数字资产风险清单，结合SaaS云平台和实时供应链安全情报，为社区用户提供灵活弹性、精准有效、稳定易用的开源数字供应链安全解决方案。 

与传统的企业版SCA工具相比，OpenSCA展现了独特的优势。轻量级、易于使用，同时具备完整的功能，支持漏洞库、私服库的自主配置，能够适应IDE、命令行、云平台等多种使用场景。无论是离线还是在线，OpenSCA都能灵活地融入开发流程，为用户输出透明化的组件资产和风险清单。 

此外，OpenSCA的持续创新也值得关注。随着新版本的发布，在解析引擎、SBOM生成转化、许可证合规管控等方面都展现了显著的进步。特别是对SBOM（软件物料清单）的支持，不仅能够生成国际三大主流SBOM格式，还支持中国首个数字供应链SBOM格式DSDX，这标志着OpenSCA在适应国内外市场需求方面迈出了重要步伐。

开源的本质是群智创新！感谢每一位社区成员对OpenSCA社区的贡献与支持。OpenSCA的代码会在GitHub、Gitee和GitCode持续迭代，欢迎来自全球用户的Star和Fork，也欢迎向社区提交ISSUE和PR，参与悬镜的数字供应链安全共建计划，用开源的方式做开源治理，让创新技术更普惠。 

点击阅读 最新版本升级 | OpenSCA接入CI/CD流水线，WAR包扫描等重大功能上新

悬镜安全自主研发的以代码疫苗技术为核心的“全流程数字供应链安全赋能平台+敏捷安全工具链+供应链安全情报服务”的第三代DevSecOps数字供应链安全管理体系及数字供应链安全组件化服务，在DevSecOps敏捷安全体系建设、数字供应链安全审查、开源供应链安全治理和云原生安全体系建设四大典型应用场景下，保障企业用户数字供应链安全风险的高效治理。方案的首创性与应用性屡获权威机构的高度认可，先后被工业和信息化部网络安全产业发展中心、中国信通院、国家信创工委会、证券基金行业信息技术应用创新联盟等组织机构评为优秀解决方案。

第三代DevSecOps数字供应链安全管理体系

悬镜安全是业内最早投入并专注于DevSecOps数字供应链安全领域的安全厂商，是该领域国内外公认的技术领导者，多次获评Gartner SCA技术代表厂商、Forrester SCA和SAST技术代表厂商，以及IDC 中国DevSecOps Innovator（技术创新者代表）。中国信息通信研究院权威发布的《中国DevOps现状调查报告》数据显示，悬镜安全全栈产品市场应用率连续四年排名第一，截至目前，悬镜产品服务仍在全国各地高速复制推广，持续对各类企业级安全市场进行深度覆盖。作为数字供应链安全开拓者和DevSecOps敏捷安全领导者，悬镜安全提供的第三代DevSecOps数字供应链安全管理体系，已广泛落地于金融、车联网、通信、能源、政企、智能制造和泛互联网等多个关键行业和应用场景。

点击阅读（2021-2024《中国信通院DevOps现状调查报告》（官方）

站在数字供应链安全全流程治理与运营的视角，子芽将整个数字供应链安全划分为“ 供应链引入、生产链、供应链交付运营”三大环节。对应由 ASOC、SBOM、TMA、SAST、SCA、IAST、DRA、RASP、PTE 等技术手段予以支撑。子芽强调称，在整个过程中敏捷安全将是未来的主要趋势，其中 SBOM 也是数字供应链安全的关键部分。

子芽带领团队于2023年8月10日在国家会议中心，联合倪光南院士及北京大学、开源中国、电信研究院、中兴通讯等产业机构的专家学者发布中国首个数字供应链SBOM格式DSDX，为中国产业用户在数字供应链安全治理领域实战化应用实践落地搭建技术底座。

子芽在会上指出，SBOM 即软件物料清单是建立数字供应链的安全基线，将在辅助安全设计评审，交叉安全测试和动态发布等环节发挥重要作用。中国首个数字供应链 SBOM 格式--DSDX(DigitalSupply-chain Data Exchange)。

DSDX 由 OpenSCA 社区主导发起，汇聚权威研究机构、甲方客户、安全厂商力量共同适配中国企业实战化应用场景，其目标是成为数字供应链安全治理与运营的核心技术抓手，以助力行业从软件供应链安全过渡到数字供应链安全时代。

上图联合发布嘉宾为：

倪光南  中国工程院院士（左4）

陈   钟  北京大学计算机学院网络与安全实验室主任（左2）

子   芽  悬镜安全创始人兼CEO、DSS大会执行主席（左3）

毛新然  北京信息化协会信息技术应用创新工作委员会秘书长（左1）

何国锋  中国电信研究院安全技术研究所所长（左5）

卜思南  360数字安全集团副总裁（左6）

更多内容点击阅读 DSS 2023数字供应链安全大会成功举办

国内首个自有SBOM格式-DSDXv1.0 的核心特点包括全场景覆盖、强大的兼容性、供应链数据溯源和强大的自身安全性。

国内首个自有SBOM格式-DSDXv1.0四大核心特点

更多内容 中国首个数字供应链SBOM格式，为何DSDX值得你的关注？

悬镜安全在国内软件供应链安全行业标准建设中也会发挥了产业领军企业带头作用，主导推动并参与软件供应链安全领域多个国标、行标及团标的研制和推广，如《软件物料清单总体能力要求 》、《软件物料清单构建及安全应用技术要求》、《信息安全技术 软件物料清单数据格式》、《软件物料清单工具能力要求》等。

正如安全牛在报告中提到，基于供应链视角开展软件安全审查，不仅是满足安全合规的要求，更是保障国家数字经济高质量发展的重要支撑，亦是当前国情下必须落实的重要安全举措。身为全球数字供应链安全开拓者与引领者，悬镜安全将持续深耕数字供应链安全关键技术研究突破与实践创新，通过AI大模型技术深度赋能基于“智能供应链安全管理平台+敏捷安全工具链+AI安全情报预警”的第三代DevSecOps数字供应链安全管理体系，积极发挥领导者的产业生态影响力，加强行业生态协同，助力企业用户数智化转型升级和高质量发展，真正实现数字供应链安全能力质的飞跃，守护中国数字供应链安全。

＋

关于“悬镜安全”

悬镜安全，起源于子芽创立的北京大学网络安全技术研究团队”XMIRROR”，作为中国数字供应链安全和DevSecOps敏捷安全开拓者，始终专注于以“代码疫苗”技术为内核，凭借原创专利级”全流程数字供应链安全赋能平台+敏捷安全工具链+供应链安全情报预警服务”的第三代DevSecOps数字供应链安全管理体系，创新赋能金融、车联网、通信、能源、政企、智能制造和泛互联网等行业用户，构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系，持续守护中国数字供应链安全。