Gartner发布软件供应链安全市场指南：软件供应链安全工具的8个强制功能、9个通用功能及全球29家供应商Market_Guide_for_Sof_759156_ndx.pdf

软件供应链安全是一个关键的风险和合规性问题，但大多数组织都以分散的方式处理它。缺乏一个包罗万象的框架会遗留安全漏洞。通过实施三支柱框架，安全和风险管理领导者可以确保广泛的保护。 对软件供应链的攻击给组织带来重大的安全、监管和运营风险。有数据显示，这些攻击造成的损失将从 2023 年的 460 亿美元上升到 2031 年的 1380 亿美元。 在全球范围内，包括法律法规在内的合规要求以及非正式的行业指导正在实施，以迫使对软件供应链安全 (SSCS) 和应用程序安全风险采取更积极的应对措施。 Gartner 2023 年技术采用调查发现，近三分之二的组织报告称他们已经实施或正在实施 SSCS 计划。尽管如此，多起事件和指标表明，这些努力（通常在整个组织内缺乏协调）未能解决严重的安全漏洞。 ### Gartner发布的软件供应链安全指南解析 #### 一、引言 随着数字化转型的深入发展，软件供应链安全问题日益凸显，成为企业面临的关键风险之一。根据Gartner的研究报告，预计到2031年，软件供应链攻击导致的损失将从2023年的460亿美元飙升至1380亿美元。这一预测不仅揭示了当前软件供应链安全形势的严峻性，同时也为企业提供了加强安全管理的重要参考。本文旨在深入分析Gartner提出的三支柱框架，探讨如何构建全面的软件供应链安全保障体系。 #### 二、软件供应链安全概述 软件供应链安全涉及从软件开发、分发到部署使用的整个生命周期中的安全性保障。随着软件开发过程中的复杂性和依赖性的增加，供应链中的漏洞逐渐成为攻击者的目标。因此，确保软件供应链的安全对于预防网络安全威胁至关重要。 #### 三、软件供应链攻击现状与挑战 近年来，针对软件供应链的攻击频发，这些攻击往往利用供应链中的薄弱环节进行渗透，给企业和组织带来了巨大的安全、监管和运营风险。据Gartner 2023年技术采用调查结果显示，虽然近三分之二的企业已经开始实施或正在实施软件供应链安全计划，但由于缺乏统一的管理框架，这些努力往往未能有效地填补安全漏洞。 #### 四、Gartner的三支柱框架详解 为了解决上述问题，Gartner提出了一套三支柱框架，旨在帮助企业建立一个全面且协调一致的软件供应链安全保障体系。该框架包括以下三个核心组成部分： 1. **供应链风险管理**：强调在整个供应链中识别、评估和缓解潜在风险的重要性。这包括对外部供应商和服务商的评估，以及内部流程和策略的优化。 2. **软件开发安全性**：重点关注在软件开发过程中嵌入安全实践和技术，确保代码的质量和安全性。这涉及到代码审查、静态和动态分析工具的应用等。 3. **持续监控与响应**：确保持续监测软件供应链中的活动，并及时响应可能的威胁。这包括建立快速响应机制，以便在发生安全事件时能够迅速采取行动。 #### 五、实施建议 为了有效应对软件供应链安全挑战，企业应考虑采取以下措施： 1. **建立跨部门协作机制**：通过加强不同部门之间的沟通与合作，确保软件供应链安全管理的全面覆盖。 2. **制定标准化流程**：制定一套标准化的操作流程和政策，以提高软件供应链管理的一致性和效率。 3. **采用先进技术和工具**：利用最新的技术和工具来增强软件供应链的安全性，如自动化测试、威胁建模等。 4. **培养安全文化**：提高员工对软件供应链安全重要性的认识，鼓励他们积极参与到安全管理工作中来。 5. **定期培训和演练**：定期举办安全培训和应急演练，提升员工的安全意识和应对能力。 #### 六、总结 面对日益复杂的软件供应链环境，企业必须采取更加主动和系统化的措施来保护自身免受潜在威胁。Gartner提出的三支柱框架为构建全面的软件供应链安全保障体系提供了一个清晰的方向。通过综合运用供应链风险管理、软件开发安全性以及持续监控与响应等措施，企业可以在不断变化的安全形势下保持竞争力。

在当前快速发展的软件工程领域，软件供应链安全成为全球企业不可忽视的挑战。根据Gartner的研究报告，预计到2028年，全球有80%的组织将遭受软件供应链攻击，这是2024年已知数据的48%的增长。这一数据强调了企业在整个软件开发生命周期中加强安全防护措施的重要性。 在软件供应链中，无论是外部来源还是内部开发的代码，以及开发环境，都可能已经被破坏。软件工程团队必须采取措施保护软件交付过程的完整性。这包括采用包括持续集成和持续交付（CI/CD）在内的安全实践。报告中强调了几个关键发现，包括公开的包管理器中充斥着易受攻击的第三方组件，这些组件可能在关键价值流中被无意中使用；代码构建和交付管道的安全性受到威胁，可能会导致敏感数据泄露或代码被篡改；以及未能执行最低权限策略，使得攻击者能够横向移动，对开发环境造成更大的威胁。 为了应对这些威胁，Gartner提供了一系列推荐措施。组织需要通过强制执行严格的版本控制政策、利用可信内容的工件存储库评估第三方组件，以及在交付生命周期中管理供应商风险来保护内部代码的完整性。组织应该通过配置CI/CD工具中的安全控制、保护秘密信息以及对代码和容器镜像进行签名来强化软件交付管道的安全性。软件工程师的开发环境需要通过实施最小权限和零信任安全模型的原则来确保安全。 这些安全措施和策略需要在整个软件供应链中被广泛采纳，以确保从代码开发到最终部署的每一个环节都具备高度的安全保障。由于软件供应链攻击的隐蔽性和复杂性，企业必须采取积极的预防措施，包括定期的安全评估、持续的监控以及对潜在安全威胁的快速响应机制。 随着软件供应链攻击日益频繁，组织必须提前做好准备，并采取必要的安全措施来对抗这类攻击。企业需要建立一个全面的安全策略，并将其融入到软件开发生命周期的每个阶段中，以此来保障软件供应链的安全，防止潜在的攻击对企业造成破坏性的影响。

在当前技术快速发展的背景下，人工智能（AI）与网络安全领域的关系变得愈发紧密。Gartner公司作为全球知名的技术研究和咨询机构，在其发布的2025年人工智能和网络安全技术成熟度曲线报告中指出，AI技术在网络安全领域的应用已达到前所未有的高度。AI不仅在网络安全攻击中的角色日益凸显，而且网络安全解决方案的自动化与智能化正变得越来越重要。 报告中提到的AI战略规划假设到2029年，超过一半的针对AI智能体的网络安全攻击将利用访问控制，采用直接或间接的提示注入作为主要攻击手段。同时，预计到2027年，网络安全领域中成功的AI实施将有90%集中在战术性的任务自动化和流程增强上，而非角色替代。此外，报告预测到2030年，因为生成式AI准确性的下降、技能流失以及缺乏有竞争力的薪酬，多数企业机构在至少两个关键岗位上将面临不可逆转的人才短缺问题。 报告强调，在AI的快速发展趋势下，网络安全领导者需要对新兴的AI应用有充分的理解，以识别和避免潜在的投资浪费和安全风险。尤其在理解和处理提示工程、大语言模型的能力和局限性方面，网络安全领导者需要提升自身的专业素养。同时，报告也提醒企业，应快速建立和维护强大的知识体系，以支持评估框架的建设，避免对未验证的安全解决方案进行不当投资。 报告中提到的企业机构正在扩大对AI计划的投资，鼓励员工使用生成式应用，并越来越多地利用智能体。企业正在试验和扩展定制应用的使用，以及管理员工对第三方应用的广泛采用和在现有企业应用中嵌入的功能。但是，企业对大语言模型和其他模型驱动的新兴功能、应用和智能体的采用速度，已超过了安全控制成熟度的发展速度，带来了新的挑战。 网络安全领导者必须应对这些挑战，承担治理和保护这些计划的职责，并在安全领域试验由AI驱动的新功能。为了充分实现投资价值并避免投资浪费，网络安全领导者必须探索新的实践来保护新计划，并建立可持续的评估实践机制。Gartner在报告中指出，网络安全与AI之间复杂的关系，需要从四个主题进行阐述：新兴AI应用的新攻击面的理解、在现有企业应用中嵌入代理型AI功能的安全性、在评估网络安全领域的AI智能体时调整期望和要求的必要性，以及模型上下文协议（MCP）对客户端和服务器的影响。 面对快速变化的形势，网络安全领导者需要考虑设立专门的角色来帮助创建和维护强大的知识体系。这种领导角色类似于网络安全领导者在开发团队中设立的安全牵头人角色。报告中还提到，随着AI技术的不断涌现，安全技术虽然处于期望膨胀期，但尚未到顶峰。信任、风险和安全管理已经超出了网络安全的范畴，需要企业全方位的关注。 AI在网络安全领域扮演着越来越重要的角色，网络安全领导者必须具备相关的素养，理解新兴AI应用带来的新挑战，并制定相应的战略规划。同时，企业需要在快速采纳新技术的同时，加强对安全性的考虑，确保技术投资能够带来真正的价值，而不是成为潜在风险的来源。AI技术成熟度曲线不仅为企业提供了对未来技术趋势的洞见，也为网络安全领导者在技术采纳和治理方面提供了指导。

2021安全运营技术成熟度曲线

Gartner预测，到2023年超三分之一的大型企业将拥有使用决策智能技术（包括决策建模）的分析师。 数据驱动型企业是利用数据、分析和人工智能（AI）技术来提高自身竞争优势的企业，它们正在实现重塑决策真正的价值。但是，您应该从哪里入手？首先，您要了解贵企业的决策流程，并在既有框架内调整核心决策。只有这样，您才能与开启对话并打造业务案例以继续推动相关进展。为此，本指南将帮助您重塑贵企业的决策，确保您与利益相关者方保持一致，并培养您的决策重塑能力。

Gartner预测，到2025年，企业为了保持竞争力，将更青睐同时掌握分析技能以及其他软技能的数据分析人才。 着数据分析需求的激增，寻找和留住数据分析人才来支持这些计划成为企业一项不小的挑战。因此，您需要制定长期的数据分析人才战略：采用系统的方法，吸引、支持和留住员工。为此，本指南将帮助您设计数据驱动型组织架构，在正确的时间和地点部署正确的技能和能力，从而做出更明智的商业决策，获得更优的商业成果。

Gartner - 2021 Hype Cycle for Security Operations 安全运营技术成熟度曲线

GARTNER项目组合管理软件的魔方图英文.pdf

Gartner零信任网络访问市场指南（2020版）