欢迎光临北京赛西认证有限责任公司

首页 > 新闻中心 > >中心动态
新闻中心
中心动态
行业动态

《赛西 · 软件供应链安全观察》系列解读第4期:软件供应链安全,正在从“加分项”变成“市场准入能力”

2026/6/23 9:29:39

很多软件企业现在仍然认为软件供应链安全只是安全部门关注的问题少数大型企业的要求金融、政务行业的特殊需求但实际上越来越多信号表明软件供应链安全正在逐渐成为新的市场门槛。过去客户采购软件时,最关心的是功能性能价格实施能力交付周期而今天客户越来越开始关注软件来源是否可信是否使用高危组件是否具备SBOM是否具备漏洞响应机制是否具备安全开发能力是否能够快速响应供应链风险也就是说未来客户购买的不仅是“软件功能”更是“软件可信能力”而这也是GB/T 43698《网络安全技术 软件供应链安全要求》越来越重要的根本原因。


一、为什么客户开始越来越关注软件供应链安全?

今天的软件风险已经开始直接影响客户自身如果供应商的软件使用高危组件发布包被篡改存在后门长期不修复漏洞无法快速响应风险最终承担影响的不仅是软件企业还有使用软件的客户。因此越来越多客户开始要求供应商证明“你的软件是可信的”


二、未来客户会越来越关注什么?

过去客户问:系统能实现什么功能?是否稳定?是否按期交付?未来客户可能更关心:

传统关注点

新关注点

功能是否满足需求

软件来源是否可信

性能是否稳定

是否使用高危组件

是否支持扩展

是否具备SBOM

是否按期交付

是否具备漏洞响应机制

是否价格合理

是否具备安全开发能力

也就是说软件行业正在从“功能竞争”逐渐走向“可信竞争”


三、为什么SBOM正在成为新的行业要求?

近年来越来越多行业开始关注SBOM(软件物料清单)原因很简单:客户希望知道“软件里面到底有什么”因为一旦发生漏洞事件客户需要快速确认是否受到影响哪些系统存在风险哪些组件需要修复如果供应商无法提供组件清单版本信息漏洞影响范围客户就会认为企业缺少软件供应链治理能力。因此未来SBOM很可能逐渐成为软件透明化的重要基础能力之一。


四、为什么金融、能源、政务行业推动最快?

这些行业本身属于高敏感行业。例如:银行证券电力通信医疗政务工业互联网一旦软件供应链出现问题影响可能非常巨大。因此这些行业通常最早开始推动软件可信开发漏洞治理开源治理SBOM建设软件供应链安全能力建设


五、为什么“出海企业”更需要关注?

很多企业认为软件供应链安全只是国内趋势实际上国际推动更快。近年来国际上越来越强调软件可信开源治理SBOM安全开发框架软件透明化未来企业如果出口软件提供SaaS服务服务海外客户越来越可能被要求提供SBOM提供漏洞响应机制提供软件来源证明提供软件供应链治理能力说明也就是说软件供应链安全正在逐渐成为国际市场“信任门槛”


六、为什么越来越多招投标开始关注?

近年来越来越多大型项目开始提出安全开发能力漏洞治理能力软件供应链安全能力软件可信交付能力因为客户已经不再只担心“系统会不会被攻击”而开始担心“供应商本身是否可信”因此未来的软件供应链安全能力可能逐渐成为加分项准入项必选项


七、软件供应链安全,为什么会成为核心竞争力?

过去软件企业竞争更多依赖功能价格实施能力交付速度未来越来越重要的是“客户是否相信你的软件”尤其AI时代以后软件复杂度会进一步提升客户越来越难通过人工判断软件是否安全。因此企业需要“体系化证明自己的可信能力”


八、企业应该从哪里开始建设?

很多企业会觉得软件供应链安全非常复杂。实际上真正重要的不是“一次性做到最好”

而是“逐步建立治理能力”建议企业优先开始:

1. 建立组件台账知道自己用了什么。

2. 建立SBOM机制实现组件透明化。

3. 建立漏洞治理机制包括:漏洞跟踪漏洞分级修复闭环

4. 建立开源治理机制包括:开源准入白名单许可证管理

5. 建立研发流程安全机制包括:DevSecOps发布审批自动化扫描

6. 建立持续运营机制软件供应链安全不是一次项目而是长期运营能力。

 

九、中小企业如何低成本推进?

很多中小企业担心建设成本太高。实际上很多能力完全可以“先建立机制,再逐步工具化”例如:先建立组件清单漏洞台账发布管理权限管理然后再逐步推进自动扫描SBOM平台DevSecOps体系


十、GB/T43698真正的价值是什么?

很多企业以为GB/T43698只是:“认证标准”实际上它更重要的意义是建立可信的软件生产体系。它推动的不仅是漏洞治理更是软件治理能力软件透明化能力风险控制能力软件可信交付能力软件持续运营能力


十一、未来的软件企业,会出现什么变化?

未来的软件行业可能逐渐分成两类企业:第一类只会开发软件。第二类既会开发软件,又具备“可信交付能力”未来真正长期具备竞争力的很可能是第二类。因为客户最终需要的不仅是软件更是“可信的软件”

软件供应链安全正在从“安全能力”逐渐变成“市场能力”未来的软件企业不仅需要开发能力更需要风险治理能力软件透明化能力软件可信交付能力软件供应链持续运营能力而这也是GB/T 43698《网络安全技术 软件供应链安全要求》正在推动的重要方向之一。未来企业竞争的不仅是谁开发得更快更是谁“更值得被信任”

 

软件供应链安全能力建设观察

当前,SBOM与开源治理正在逐步成为软件供应链安全建设的重要基础能力。围绕软件组件透明化、依赖治理、漏洞可追溯以及开源合规等方向,行业正在加速形成新的治理模式。

作为长期专注于信息技术领域认证与标准化研究的专业机构,北京赛西认证有限责任公司持续开展软件供应链安全相关研究与认证实践,并围绕GB/T 43698《网络安全技术 软件供应链安全要求》推进企业软件供应链治理能力建设与行业实践探索。

在实践过程中,针对不同研发模式的软件企业,可结合实际情况逐步推进SBOM建设、开源治理及软件供应链安全体系规划。