悬镜安全：风险情报驱动的数字供应链安全治理实践

近日，备受关注的《ISC.AI 2025创新性案例报告》正式发布。作为数字安全与AI融合领域最具影响力的年度评选之一，本届ISC.AI创新百强评选以 “安全智变，AI赋能新力场” 为主题，聚焦数字安全与人工智能的深度融合，旨在回应智能时代数字安全发展的核心命题：安全已不再是单一防御问题，而正逐步演进为支撑智能系统可信运转、推动新质生产力释放的核心能力；AI也正从提升效率的生产力工具，转变为新一代安全体系的动力引擎与战略支撑点。

悬镜安全凭借其 “风险情报驱动的数字供应链安全治理实践” 案例，从500余家企业、100余所高校参选的800余份产品及解决方案中脱颖而出，成功入选该权威报告。这不仅标志着悬镜安全在AI数字供应链安全治理领域的前沿探索获得了行业高度认可，更证明了其以风险情报为核心理念，依托悬镜首创多模态SCA+供应链安全风险情报+ASPM供应链安全态势管理平台为核心的新一代AI数字供应链安全治理体系所构建的实践方案，在真实场景中的落地价值与应用效能得到了权威肯定。

以下是案例详情：

案例背景：

随着电信行业数字化转型深入推进与软件技术栈的日益复杂，软件从需求设计、组件选型、开发测试到部署运维的全流程中，数字供应链已广泛涉及大量第三方供应商，涵盖上下游众多主体、海量第三方组件与许可证，逐渐形成一个复杂交织的软件供应链体系。随着供应链环节的不断延伸，安全风险点持续增多，其重要性愈发凸显。当前主要痛点集中体现在供应链资产“看不清、管不全”、漏洞风险“响应慢、控不住”、供应商与组件准入“缺手段、难闭环”等方面。为此，企业亟需构建一套与自身高速研发节奏相匹配的、具备主动免疫能力的数字供应链安全治理体系，其核心需求包括 ：

1. 风险情报驱动的漏洞智能响应与闭环管控：建立多源风险情报聚合引擎，整合全球开源漏洞库（NVD、CVE）、通信行业风险情报、软件供应链投毒数据等，实现漏洞情报的实时同步与智能分析；

2. 供应链资产全链路可视化与精准管理：针对在研与在运项目，实现软件物料清单（SBOM）的自动生成与动态管理，覆盖开源组件、第三方 SDK、软件包等依赖项，并进行多层传递依赖关系的深度解析；

3. 供应商与组件制品安全准入生态协同：建立供应商安全准入评估体系，对外部合作伙伴实施安全能力分级管理，要求交付的组件包、容器镜像等制品通过自动化安全检测，包括组件漏洞扫描、许可证合规分析、恶意组件检测等环节。

关键挑战：

在推进电信行业在推进数字供应链安全治理实践中，电信行业主要面临软件成分解析、数据整合、漏洞情报利用等多维挑战 ：

挑战一：复杂异构技术栈下的软件成分精准解析。电信行业软件研发涉及多种技术形态与海量第三方组件，组件依赖层级深，关系复杂，传统软件成分分析（SCA）工具难以有效识别深层依赖依赖，导致供应链资产可视性不足。

挑战二：二进制、固件漏洞的精准识别与防护。硬件固件作为设备核心组成部分，其规模和复杂度不断上升，来源和更新记录往往缺乏透明度，传统供应链检测工具通常无法有效识别固件和二进制组件中存在的漏洞，也难以给出有效防护方案。

挑战三：多源供应链安全数据异构数据整合。供应链安全数据分散在多个独立的系统，如 SCA 工具、漏洞库、日志平台、供应商自评估系统等，缺乏统一的数据治理框架，导致难以汇聚分析并形成全局、可视化风险画像。

挑战四：海量、碎片化漏洞情报的有效利用。安全团队需要监控包括NVD、CNVD、CNVD、GitHub 安全公告、开源社区、商业情报源在内的数十个信息渠道，面临严重信息过载。同时，各渠道漏洞描述与影响评估标准不统一，进一步加强情报运营与决策难度。

解决方案：

为系统化应对电信行业在数字供应链安全治理中面临的挑战与核心需求，本方案以悬镜安全数字供应链安全治理能力为核心，结合其创新的“XSBOM 供应链情报运营数据”云端服务能力，构建了一套“云端情报驱动、本地精准管控、生态协同治理”的一体化、主动式数字供应链安全解决方案。

一、方案具体实施策略包括以下几个方面

1. 多模态资产采集 ：

① . 源代码与构建制品分析：在CI/CD 流水线的代码仓库与应用服务器中部署应用监测探针，对应用组件进行自动化解析和代码指纹识别，构建初步的软件成分清单。

② . 二进制与固件深度解析：针对二进制文件、设备固件等“黑盒”资产，采用二进制成分分析引擎进行逆向分析与漏洞特征识别，有效发现其中隐含的第三方库、编译器版本、潜在漏洞特征片段，弥补传统 SCA 工具在此类资产上的检测盲区。

③ . 容器与云原生制品扫描：对 Docker 镜像进行分层扫描，识别各层引入的软件包、配置文件和敏感信息，构建完整的镜像 SBOM，实现云原生环境资产可视化。

2. 动态 SBOM 与资产关系图谱构建 ：

基于采集到的组件数据，自动生成可追溯、可更新的动态软件物料清单，并利用图谱生成技术，构建“项目 -> 应用 -> 组件 / 库”的立体化资产关系图谱，当发现某个组件存在漏洞时，可一键定位所有受影响的上层应用，实现影响范围精准研判。

3. 多源情报聚合与智能关联：

平台持续从云端情报服务拉取经过预处理的、标准化的漏洞情报流，结合资产上下文、风险上下文、供应链上下文进行综合分析，一旦新增风险情报触达，内置的关联引擎将立即将其与本地 SBOM 资产库进行比对，快速定位风险影响范围，支撑精准响应。

4. 供应商安全准入与生态协同：

结合“XSBOM 供应链风险情报”及 SCA 检测能力，为外部供应商提供一个安全交付入口，实现组件制品自动化安全检测、安全评估与闭环等服务，通过对供应商交付的软件包、SDK、容器镜像扫描，并结合供应链情报服务，可检查漏洞、许可证合规性及潜在恶意代码，并将供应商的软件、组件质量（漏洞数量、修复及时性）纳入其安全能力分级体系，与后续合作挂钩，形成管理闭环。

5. 可视化风险运营与事件处置：

提供供应链情报可视化大屏，实时呈现软件资产全景、软件资产总数、风险组件分布、高危漏洞趋势、供应商安全指数等关键指标，当发生重大组件漏洞事件时，平台自动聚合受影响资产清单、漏洞详情、修复方案（如官方补丁链接、热修复补丁）、内部相关责任人，实现安全供应链事件一站式研判与处置。

二、方案技术架构

本方案的技术架构严格遵循“数据采集 - 分析 - 决策 - 执行 - 反馈”的安全运营闭环逻辑，该方案旨在将外部的、动态的风险情报与内部的、静态的资产信息、动态的研发流程深度整合，构建“看见风险、分析风险、管控风险、运营风险”的闭环治理能力。如下图所示 ：

1. 云端智能情报中枢（驱动层）

云端智能情报中枢作为方案的“智慧大脑”，该中枢基于 XSBOM 供应链情报运营管理平台云端服务，汇聚 NVD、CNNVD、CNVD 等权威漏洞库，以及信创渠道等专项情报、企业情报、OpenSCA 开源社区情报等多源信息。通过主动监控与深度挖掘，对开源项目进行持续监控，挖掘潜在风险与投毒攻击事件，形成具有前瞻性的原创供应链情报。该层不直接接触企业敏感资产数据，而是专注于海量、多源威胁情报的聚合、分析、挖掘与标准化推送，实现与企业的云端联防联控。

2. 本地私有化治理平台（管控层）

在企业内部数据中心私有化部署“数字供应链安全治理平台”，该平台作为方案的“神经中枢与执行终端”，负责企业内部的资产清点、风险分析、流程管控和运营协同职责，接收云端下发的精准风险情报，并与本地资产、流程数据结合，执行具体的安全策略。并通过加密 API 通道与云端情报中枢保持情报同步，并生成的标准化 SBOM，与云端进行情报匹配，云端通过情报智能分析，将处置方案和防护推送企业安全运营中心，触发自动化响应流程。

创新性与优势：

悬镜安全的“风险情报驱动的数字供应链安全治理实践”方案，在技术与治理模式上实现了双重创新，有效突破了传统方案的局限，为应对数字供应链安全挑战提供了系统性的解决框架。其核心创新性与优势具体如下图所示 ：

一、技术创新性优势

1. 多模态资产采集与全栈解析能力，突破传统工具局限

传统软件成分分析 (SCA) 工具往往局限于源代码与已知组件的识别，对二进制文件、固件等”黑盒”资产以及深层次的依赖关系难以解析。而悬镜安全的方案创新性地采用多模态资产采集技术，生成源码组件成分分析、代码成分溯源分析、制品成分二进制分析、AI模型安全扫描、容器镜像成分扫描、运行时成分动态追踪及开源供应链安全情报预警分析七大核心引擎，实现了从软件到硬件、从应用到底层的全栈资产可视，实现了供应链安全全栈解析能力。

2. 云端智能情报中枢与本地治理平台协同，实现高效联防联控

传统方案中企业依赖企业自身进行静态、滞后的情报收集与分析，难以应对快速演变的供应链威胁。本项目构建了“云端智能情报中枢 + 本地私有化治理平台”的协同架构，云端专注多源情报的聚合、挖掘与标准化推送 ；本地平台负责资产管控与策略执行。二者通过加密通道实时同步，形成了“情报驱动、精准下发、快速响应”的主动防御闭环，大幅提升整体防御效率和协同能力。

3.AI 驱动的智能关联分析，提升风险治理精准度

面对海量、碎片化的漏洞情报和复杂的资产数据，传统的人工分析方式效率低、易遗漏且容易出错。本方案引入 AI 智能算法，实现了智能关联分析与风险优先级排序。

二、治理模式创新优势

1. 动态 SBOM 与资产关系图谱，实现全链路可视化治理

传统方案中，企业往往缺乏对软件供应链资产的全面、动态管理，导致资产“看不清、管不全”。该项目通过生成动态 SBOM和构建资产关系图谱，实现了全链路可视化治理。当特定组件出现风险时，可一键穿透定位所有受影响资产，变被动响应为主动洞察，从根本上解决了资产“看不清、管不全”的痛点。

2. 供应商安全准入与生态协同，构建闭环治理体系

传统供应商管理缺乏将安全要求嵌入合作流程的有效手段。本方案建立了集自动化检测、安全评估与能力分级于一体的供应商准入体系。通过统一的安全交付入口，对供应商提供的制品进行漏洞、合规、恶意代码等自动化检测，并将结果量化为供应商安全评级，与后续合作挂钩，从而将安全治理从内部延伸至生态伙伴，实现了从准入到退出的全程闭环管理。

3. 供应链风险可视化运营，提升应急响应能力

传统风险展示分散，不利于快速决策与协同处置。本方案提供的可视化运营大屏，集成了资产态势、风险分布、漏洞趋势及供应商指数等关键指标，呈现全局供应链安全视图。在发生重大漏洞事件时，平台能自动聚合受影响清单、修复方案与责任人员，实现“情报 - 资产 - 处置 - 责任人”的一站式联动，极大提升了应急响应速度与协同处置能力。

本方案通过技术创新与治理模式重塑，构建了“看见、分析、管控、运营”的持续治理闭环，不仅系统性解决了电信行业供应链安全的核心痛点，其“情报驱动、协同治理”的理念与可落地的架构，也为其他面临类似挑战的行业提供了具有高度参考价值与实践意义的范本。

应用效果：

一、实际应用效果

资产全面可视化 ：该方案在实际应用效果中，实现了运营效率与供应链安全能力双重提升，平台已完成企业数百个核心在研与在运项目的自动化资产清点，生成了覆盖源码、容器镜像、二进制固件的统一化软件物料清单（SBOM）资产库，首次实现了数字供应链资产的资产图谱可视化，实现了从“看不见”到“全看清”的根本转变。

应急响应效率飞跃：在应对开源组件漏洞事件中，通过“云端情报 + 本地关联”的智能模式，并结合平台资产关系图谱，将影响范围分析与定位时间从过去的“数天至数周”缩短至“30分钟以内”，应急响应效率提升超过 95%，彻底告别了“大海捞针”式的被动排查。

二、客户评价

该方案获得客户安全团队的高度认可，电信行业安全部门负责人评价 ：本方案使我们拥有了清晰的供应链资产地图和雷达，该方案不仅是一套技术平台，更是将供应链安全能力深度融入到我们软件研发体系的血脉中，为我们在数字化时代的快速、安全创新，构筑了坚实的供应链安全底座。

三、经济效益

方案的实施带来了切实可量化的经济收益与风险成本节约 ：

直接成本节约：通过自动化资产管理与风险处置，每年为企业在供应链安全运维上节约人力成本超百万元；供应商准入流程的线上化与标准化，显著降低了第三方审计与协同沟通成本。

风险风本规避：通过“安全左移”与源头管控，在研发早期即拦截大量风险，避免了问题流入生产环境后可能引发的巨额紧急修复费用、业务中断损失及潜在的数据泄露合规罚款，实现了从被动补救到主动投资回报的转变。

经验总结：

本项目为电信行业构建了数字供应链安全主动免疫体系的先行实践，不仅取得了显著成效，也在过程中遇到了一些问题和可优化的方面，包括 ：

1. 历史遗留系统与“黑盒”资产的治理难题

在全面资产清点过程中，部分服役多年的核心系统因文档缺失、源码不可得或采用特殊架构，成为成分分析的难点。针对此类资产，未来将计划引入更先进的二进制软件基因图谱技术，逐步提升全面性与覆盖精度。

2. 安全运营数据的深度价值挖掘待加强

平台积累了海量的资产、漏洞、修复过程数据，但目前主要应用于风险处置和基础报表，在预测性分析、安全效能度量方面还有巨大潜力可挖。下一阶段将利用机器学习模型，自动分析漏洞趋势，预测特定技术栈的风险热点，实现精准改进。