《赛西 · 软件供应链安全观察》系列解读第4期:软件供应链安全,正在从“加分项”变成“市场准入能力”
2026/6/23 9:29:39
很多软件企业现在仍然认为软件供应链安全只是安全部门关注的问题、少数大型企业的要求、金融、政务行业的特殊需求。但实际上越来越多信号表明软件供应链安全正在逐渐成为新的市场门槛。过去客户采购软件时,最关心的是功能、性能、价格、实施能力、交付周期、而今天客户越来越开始关注软件来源是否可信、是否使用高危组件、是否具备SBOM、是否具备漏洞响应机制、是否具备安全开发能力、是否能够快速响应供应链风险。也就是说未来客户购买的不仅是“软件功能”,更是“软件可信能力”,而这也是GB/T 43698《网络安全技术 软件供应链安全要求》越来越重要的根本原因。
一、为什么客户开始越来越关注软件供应链安全?
今天的软件风险已经开始直接影响客户自身,如果供应商的软件使用高危组件、发布包被篡改、存在后门、长期不修复漏洞、无法快速响应风险,最终承担影响的不仅是软件企业,还有使用软件的客户。因此,越来越多客户开始要求供应商证明“你的软件是可信的”。
二、未来客户会越来越关注什么?
过去客户问:系统能实现什么功能?是否稳定?是否按期交付?未来,客户可能更关心:
|
传统关注点 |
新关注点 |
|
功能是否满足需求 |
软件来源是否可信 |
|
性能是否稳定 |
是否使用高危组件 |
|
是否支持扩展 |
是否具备SBOM |
|
是否按期交付 |
是否具备漏洞响应机制 |
|
是否价格合理 |
是否具备安全开发能力 |
也就是说软件行业正在从“功能竞争”逐渐走向“可信竞争”。
三、为什么SBOM正在成为新的行业要求?
近年来,越来越多行业开始关注SBOM(软件物料清单),原因很简单:客户希望知道“软件里面到底有什么”?因为一旦发生漏洞事件,客户需要快速确认是否受到影响、哪些系统存在风险、哪些组件需要修复。如果供应商无法提供组件清单、版本信息、漏洞影响范围,客户就会认为企业缺少软件供应链治理能力。因此,未来SBOM很可能逐渐成为软件透明化的重要基础能力之一。
四、为什么金融、能源、政务行业推动最快?
这些行业本身属于高敏感行业。例如:银行、证券、电力、通信、医疗、政务、工业、互联网,一旦软件供应链出现问题,影响可能非常巨大。因此,这些行业通常最早开始推动软件可信开发、漏洞治理、开源治理、SBOM建设、软件供应链安全能力建设。
五、为什么“出海企业”更需要关注?
很多企业认为软件供应链安全只是国内趋势,实际上国际推动更快。近年来国际上越来越强调软件可信、开源治理、SBOM、安全开发框架、软件透明化,未来企业如果出口软件、提供SaaS服务、服务海外客户,越来越可能被要求提供SBOM、提供漏洞响应机制、提供软件来源证明、提供软件供应链治理能力说明。也就是说,软件供应链安全正在逐渐成为国际市场“信任门槛”。
六、为什么越来越多招投标开始关注?
近年来,越来越多大型项目开始提出安全开发能力、漏洞治理能力、软件供应链安全能力、软件可信交付能力。因为客户已经不再只担心“系统会不会被攻击”,而开始担心“供应商本身是否可信”。因此,未来的软件供应链安全能力可能逐渐成为加分项、准入项、必选项。
七、软件供应链安全,为什么会成为核心竞争力?
过去,软件企业竞争更多依赖功能、价格、实施能力、交付速度。未来,越来越重要的是“客户是否相信你的软件”,尤其AI时代以后软件复杂度会进一步提升,客户越来越难通过人工判断软件是否安全。因此,企业需要“体系化证明自己的可信能力”。
八、企业应该从哪里开始建设?
很多企业会觉得软件供应链安全非常复杂。实际上真正重要的不是“一次性做到最好”
而是“逐步建立治理能力”。建议企业优先开始:
1. 建立组件台账:知道自己用了什么。
2. 建立SBOM机制:实现组件透明化。
3. 建立漏洞治理机制:包括:漏洞跟踪、漏洞分级、修复闭环。
4. 建立开源治理机制:包括:开源准入、白名单、许可证管理。
5. 建立研发流程安全机制:包括:DevSecOps、发布审批、自动化扫描。
6. 建立持续运营机制:软件供应链安全不是一次项目,而是长期运营能力。
九、中小企业如何低成本推进?
很多中小企业担心建设成本太高。实际上很多能力完全可以“先建立机制,再逐步工具化”例如:先建立组件清单、漏洞台账、发布管理、权限管理,然后再逐步推进自动扫描、SBOM平台、DevSecOps体系。
十、GB/T43698真正的价值是什么?
很多企业以为GB/T43698只是:“认证标准”,实际上它更重要的意义是建立可信的软件生产体系。它推动的不仅是漏洞治理,更是软件治理能力、软件透明化能力、风险控制能力、软件可信交付能力、软件持续运营能力。
十一、未来的软件企业,会出现什么变化?
未来的软件行业可能逐渐分成两类企业:第一类只会开发软件。第二类既会开发软件,又具备“可信交付能力”。未来真正长期具备竞争力的很可能是第二类。因为客户最终需要的不仅是软件,更是“可信的软件”。
软件供应链安全正在从“安全能力”逐渐变成“市场能力”。未来的软件企业不仅需要开发能力,更需要风险治理能力、软件透明化能力、软件可信交付能力、软件供应链持续运营能力。而这也是GB/T 43698《网络安全技术 软件供应链安全要求》正在推动的重要方向之一。未来企业竞争的不仅是谁开发得更快,更是谁“更值得被信任”。
软件供应链安全能力建设观察
当前,SBOM与开源治理正在逐步成为软件供应链安全建设的重要基础能力。围绕软件组件透明化、依赖治理、漏洞可追溯以及开源合规等方向,行业正在加速形成新的治理模式。
作为长期专注于信息技术领域认证与标准化研究的专业机构,北京赛西认证有限责任公司持续开展软件供应链安全相关研究与认证实践,并围绕GB/T 43698《网络安全技术 软件供应链安全要求》推进企业软件供应链治理能力建设与行业实践探索。
在实践过程中,针对不同研发模式的软件企业,可结合实际情况逐步推进SBOM建设、开源治理及软件供应链安全体系规划。
