近日,Gartner最新发布的软件供应链安全手册抛出重磅预测:到2028年,全球80%的组织将遭受软件供应链攻击,这一比例较2024年足足提升48个百分点。此前奇安信发布的《2025中国软件供应链安全报告》同样显示,2024年国内企业软件供应链安全整体形势依然严峻。双重警示之下,意味着未来数年全球软件行业正面临着一场前所未有的安全危机,代码安全正成为数字时代下的全新风口。
Gartner指出,近三分之二的工程领导者认为应用程序安全对于交付满足业务需求的软件至关重要。软件工程领导者处于数字化业务创新的最前沿。他们负责软件开发和交付,并且越来越需要对安全实践的实施负责。
然而,软件供应链攻击正变得日益复杂,恶意攻击者会利用开发和交付生命周期中各个阶段的漏洞。软件供应链攻击涵盖了从向开源软件包注入恶意代码到在部署后软件更新中安装后门等各种手段。自2019年以来,已发现超过70万个恶意软件包,并且这一数字还在呈指数级增长。
Gartner表示,软件工程领导者必须假定所有工具(包括所有代码,无论来自外部还是内部开发)和开发环境都已遭到入侵。下图展示了交付流程每个阶段潜在的安全风险。
近年来,全球公开披露的软件供应链安全事件已超百起,其中至少五起重大事件引发行业震动。其中:
2025年9月,Node Package Manager(NPM)代码库遭遇针对性网络钓鱼,攻击者试图入侵包维护者账户篡改开源组件;
2024年3月,Discord平台上拥有17万名成员的Top.gg机器人社区遭攻击,恶意软件通过开发者工具窃取敏感信息;
2023年9月,Okta客户支持管理系统凭证泄露,导致消费者私人数据与支持案例文件面临泄露风险;
更早些时候,Codecov源代码库与凭证被非法访问,企业核心代码安全防线全面失守。
这些案例并非个例,而是全球软件供应链脆弱性的集中体现,攻击者正以“四两拨千斤”的方式,通过污染一个组件、劫持一个流程,实现对整个企业甚至行业系统的渗透。
奇安信代码安全实验室今年7月的发布《2025中国软件供应链安全分析报告》显示,与历年相比,2024年国内企业自发的软件项目源代码整体缺陷密度持续升高,达到了13.26个/千行,软件项目存在老旧开源软件漏洞的状况没有改善,多个项目中依然存在20年前的开源软件漏洞。
报告还发现,当前主流开源大模型推理框架、5家主流厂商的汽车关键部件等均存在严重的软件供应链安全风险,这些重点领域的风险亟待行业重视。
面对日益严峻的软件供应链攻击形势,防范工作刻不容缓。奇安信安全专家认为,由于软件供应链是一个复杂的系统,需要采用系统工程方法进行体系化、全局性治理。政企机构要构建完善的软件供应链安全治理体系,需要从开发、开源、运行部署、自动化渗透测试及软件供应链风险管理这五个方面构建关键能力。
在开发阶段,加强基于源代码安全缺陷及后门分析的开发安全能力,确保代码安全;
在开源环节,建设基于开源组件/二进制成分风险分析的开源安全能力,对使用的开源组件进行严格审查;
运行部署阶段,通过基于软件空间测绘的安全部署、运行能力,实时监测软件运行状态;
自动化渗透测试方面,需利用基于感知与自主测试的自动化渗透测试能力,主动发现潜在安全漏洞;
供应链风险管理是不可缺少的环节,需要基于SBOM(软件物料清单)风险分析的软件供应链风险管理能力,对软件供应链中的所有组件进行管理和风险评估。
此外,政企机构还需要建立起供应方、应用方、软件开发机构分工明确、协同联动的治理体系。其中,供应方应确保所提供产品和服务的安全性,加强自身安全管理;应用方要对使用的软件进行严格审查和监测;软件开发机构则需从源头保障软件安全。同时,技术与管理应深度结合,贯穿软件供应链的全过程、全环节、各领域。
从行业发展趋势来看,软件供应链安全已催生全新的市场机遇,代码安全正成为科技企业竞争的新赛道。基于奇安信代码安全实验室多年的技术积累,奇安信集团在国内率先推出了自主可控的软件代码安全分析系统——奇安信代码卫士,助力政企机构供应链安全能力建设。
奇安信代码卫士是一套静态应用程序安全测试系统,目前支持C、C++、C#、Objective-C、Swift、Java、PHP、Python、Cobol、Go等32种编程语言,可检测3500多种源代码安全缺陷,支持多个国际、国内主流标准和规范的检测。凭借软件供应链安全的优势,奇安信已连续多次入选全球《静态应用安全测试解决方案全景图》代表厂商。
在AI赋能方面,奇安信代码卫士结合大模型技术,推出了“AI+代码卫士”功能,通过该功能可以自动化、批量化进行代码审计,为开发人员提供个性化、专业化缺陷描述、修复建议、加固代码,帮助开发人员高效提升代码质量,构建信息系统的“内建安全”。
(AI+代码卫士试用地址:https://sast.qianxin.com/#/login)
奇安信代码卫士目前已在近千家大型企业和机构中应用,帮助客户构建自身的代码安全保障体系,消减软件代码安全隐患,并入选国家发改委数字化转型伙伴行动、工信部中小企业数字化赋能专项行动,为中小企业提供软件代码安全检测平台和服务。
其中,AI+代码卫士已经在北京银行、人保科技等多家大型客户中获得落地应用。以人保科技为例,得益于AI赋能,代码卫士系统漏洞发现效率提升300%,高危漏洞拦截率突破95%;单个系统代码的人工审计时长平均节省83.63%,审计人力成本更是降低至传统模式的1/6。
总之,Gartner的预测并非危言耸听,而是对全球软件行业的警示。未来三年,将是软件供应链安全建设的关键窗口期,企业唯有摒弃侥幸心理,将安全融入软件开发生命周期的每一个环节,才能在这场“攻防战”中站稳脚跟。正如Gartner所言,软件工程领导者必须“保护软件交付过程的完整性”,因为在数字时代,软件供应链的安全就是企业的生命线。
代码卫士试用地址:https://sast.qianxin.com/#/login
开源卫士试用地址:https://oss.qianxin.com/#/login
转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
