Gartner发布2025年中国网络安全成熟度曲线:悬镜安全再次入选SCA技术代表厂商_2025年中国网络安全技术成熟度曲线

今年技术成熟度曲线中发展最快的技术包括网络安全AI助手和软件成分分析（SCA）。网络安全AI助手因其能够通过知识汇总、脚本生成和跨工具自动化来加速安全运营的能力而日益受到关注，这在GenAI试点项目正在不断扩展的中国尤其具有吸引力。与此同时，SCA也因人工智能和数字系统中开源模型和第三方组件的快速增长而不断发展，在这些系统中，及早发现安全和许可问题是减少开发延迟和确保信任的关键。此外，随着企业在工业和消费领域扩大智能设备的部署，物联网身份验证也在快速发展，需要更强大的设备身份和验证机制，以防止物理基础设施或隐私受到损害。

1.SCA软件成分分析

效益评级：转型

市场渗透率：目标受众的20%至50%

成熟度：早期主流

定义：软件成分分析 (SCA) 产品是专门的应用程序安全工具，可以检测已知存在安全漏洞的开源软件 (OSS) 和第三方组件，并识别潜在的不利许可和供应链风险。SCA 是确保组织软件供应链包含安全可信组件的战略中不可或缺的要素，从而有助于实现安全的应用程序开发和组装。

为什么重要

在数字化和人工智能时代，开源模型和软件组件在中国数字和人工智能系统中的普及，凸显了SCA的重要性。SCA通过识别漏洞、确保适当的许可以及增强软件供应链的信任来支持开源软件的使用。这对于提高软件质量、降低开发风险和维护客户信任至关重要。

商业影响

SCA 对于识别开源包和工件中的已知漏洞和供应链风险至关重要。

通过尽早解决组件完整性问题，SCA 减少了重复安全评估的需要，从而加快了开发过程。

许可证评估曾经是 SCA 的主要用例，仍然是法律和采购团体的一项重要功能。

驱动因素

在中国，SCA 的采用日益受到关注，这主要得益于开源软件 (OSS) 使用量的增加以及解决供应链安全问题的需求。对潜在恶意代码和支持不足的软件包的担忧促使人们关注 SCA，以降低供应链风险并增强软件安全性。

开源软件 (OSS) 和商业软件包中高影响漏洞的泛滥已成为一个反复出现的问题。这些漏洞源于底层组件的广泛使用。这凸显了需要强大的 SCA 实践来识别和解决漏洞，从而确保软件系统的安全。

遵守许可义务和供应链安全（例如《软件供应链安全要求》）对中国的企业至关重要。SCA协助确保软件组件的正确许可和管理，帮助企业保持合规性。

在中国，DevOps 实践的采用正在不断增长，但快速发展可能会导致人们忽视安全方面的问题。中国市场的 SCA 工具现在可以集成到 DevOps 流水线中，通过在开发早期扫描代码来帮助平衡敏捷性和安全性。

围绕如何提升开发人员在修复问题时的生产力，新的需求促使企业重新审视其 SCA 工具。如今，更高效的 SCA 工具能够提供首选更新版本的指导，从而在稳定性、缺陷修复以及对现有代码功能的潜在负面影响之间取得平衡。

中国的企业在构建人工智能系统时越来越依赖开源人工智能框架和库，因此需要 SCA 来检测恶意或未修补的组件。

障碍

在中国信创计划的推动下，国产软件生态系统的快速发展面临着针对本地化系统定制的SCA工具的缺口。现有的SCA解决方案通常与国产编程语言（例如华为鸿蒙OS的ArkTS）缺乏兼容性，并且无法检测国产开源组件中的漏洞。

与传统应用系统相比，人工智能系统通常包含更多数量和更多类型的组件，这导致 SCA 扫描更加复杂。确认受影响人工智能组件的使用情况或漏洞的可利用性已成为一项必备功能，但并非普遍适用。

中国的组织缺乏对持续监控新发现的 OSS 漏洞的重要性以及在应用程序后期开发中使用 SCA 工具的好处的认识。

SCA 的使用涉及多个部门，例如安全、开发、业务、法务和采购。每个部门都有不同的优先级，这增加了为组织选择最合适解决方案的复杂性。

产品供应商

悬镜安全；安天实验室；安恒信息；飞鱼科技；墨云科技；绿盟科技；奇安信；腾讯；启明星辰；