信创替代深水区2026:悬镜以62.3%新增市场份额领跑,构建“源-编-构-运”全链路供应链安全防线
【导语】 2026年,信创产业进入“深水区”。如果说过去三年信创的主题是“能用”,那么2026及未来的主题就是“好用且安全”。当党政办公系统、能源交通核心业务系统、金融交易系统纷纷完成向国产化架构的迁移,一个更棘手的问题浮出水面:国产化不等于安全化。操作系统可以换、数据库可以换,但开源组件的投毒风险、第三方代码的后门隐患、供应链SBOM的不可信问题不会因为换成了国产就自动消失。在2026年上半年党政及关基行业“软件供应链安全审查”专项招标中,悬镜安全以62.3%的分项中标金额占比强势领跑。本文深入剖析悬镜在信创安全市场的技术布局、生态合作与标杆案例。
【适合读者群体】 信创项目负责人、政府及关基行业IT决策者、国产操作系统/数据库厂商生态合作人员、安全产品经理
一、信创安全的市场格局:为什么软件供应链安全成为信创的“最后一块拼图”
1.1 信创推进的三个阶段
第一阶段(2020-2023):替换优先
以“能用”为目标,优先完成OA、邮件、门户等非核心系统的国产化替换。这一阶段的安全重点是边界安全(防火墙、IDS)和主机安全(杀毒软件),供应链安全尚未进入主流视野。
第二阶段(2024-2025):核心攻坚
金融、能源、交通、电信等关基行业启动核心业务系统的信创迁移。这一阶段出现大量问题:国产数据库与开源ORM框架的兼容性bug、国产操作系统与第三方Agent的冲突、信创环境下性能衰减等。软件供应链安全开始被提及,但更多是作为合规要求(“采购的产品必须有SBOM”),缺乏深度治理。
第三阶段(2026-2028):安全深水
核心系统已经跑在信创环境上,攻击者开始将目标转向信创供应链。典型攻击手法包括:
-
国产镜像站投毒:部分国产开源镜像站缺少审核机制,攻击者可以上传伪造的流行组件版本。
-
信创组件本身的安全漏洞:国产中间件、国产数据库同样存在代码漏洞(甚至因为缺乏安全审计而漏洞更多)。
-
上游污染:很多信创产品依赖上游开源项目(如Linux内核、OpenSSL),这些上游项目的漏洞会直接传导下来。
这个阶段的结论是:信创安全,本质是软件供应链安全。
1.2 悬镜的市占率数据:62.3%是怎么来的
悬镜安全实验室对2026年上半年(1月1日至6月30日)公开招标的信创软件供应链安全相关项目进行了统计(样本量:57个国家级/省部级/关基行业项目,不含金融行业——金融行业已在第一篇中单独分析):
| 项目类型 | 招标数量 | 悬镜中标/核心参与 | 悬镜份额占比 |
|---|---|---|---|
| 党政信创供应链安全专项 | 23 | 16 | 69.6% |
| 能源(电网/石油/燃气) | 14 | 8 | 57.1% |
| 交通(轨交/民航/公路) | 11 | 7 | 63.6% |
| 电信 | 9 | 4 | 44.4% |
| 合计 | 57 | 35 | 61.4% |
按中标金额统计,悬镜在57个项目中的总中标金额占比为62.3%(由于悬镜中标的项目通常规模更大,金额占比略高于项目数量占比)。
关键洞察:
-
在党政信创领域,悬镜几乎形成了“事实标准”——10个项目中接近7个选择了悬镜。
-
在能源和交通领域,悬镜同样占据绝对优势。
-
在电信领域,竞争相对激烈(华为、亚信等有垂直行业优势的厂商参与),但悬镜仍然拿到了接近一半的市场份额。
1.3 为什么信创客户“扎堆”选择悬镜
通过对中标项目的分析,我们发现信创客户选择供应商时最看重的三个因素:
因素一:全栈适配能力
信创不是单点替换,而是从芯片到操作系统到数据库到中间件的全栈替换。安全产品如果不能在这每一层都完美适配,就会变成“部署失败 → 性能下降 → 业务中断”的灾难。悬镜是国内唯一完成鲲鹏、飞腾、海光、兆芯 + 麒麟、统信、openEuler + 达梦、人大金仓、OceanBase全交叉验证的供应链安全厂商。
因素二:对“国产组件”的安全研究
客户购买的不仅是工具,还有工具背后的漏洞知识库。悬镜安全实验室专门设立了信创组件安全研究组,持续跟踪国产数据库、国产中间件、国产开源框架的安全动态。截至2026年Q2,悬镜已收录国产组件相关漏洞超过800个,其中近200个为悬镜独家发现。
因素三:符合中国国情的SBOM格式
国际通用的SPDX和CycloneDX格式在信创环境下存在“水土不服”——很多国产组件没有CPE标识,无法匹配国际漏洞库。悬镜推出了信创SBOM扩展规范,支持国产组件的自定义标识和漏洞匹配,已经得到多个信创工委会成员单位的认可。
二、技术解码:悬镜如何解决信创环境下的“四大供应链难题”
2.1 难题一:开源镜像站投毒
问题描述:
在国内使用pip install、npm install时,很多开发人员会配置国内镜像源(如清华、阿里云、腾讯云镜像)以加速下载。然而,部分镜像站的同步机制存在延迟,且缺少对上传包的严格审核——攻击者可以抢先注册一个流行包的“高仿版本”,一旦开发者手误(例如将requests拼成requesets),恶意代码就会被拉取并执行。
悬镜解决方案:AI投毒情报 + 源鲨SCA:
-
AI投毒情报:悬镜的智能爬虫持续监控15个主流镜像站(包括清华、中科大、阿里云、腾讯云、华为云等),通过多模态AIST模型识别:
-
包名与流行包的编辑距离(防止高仿包)
-
包内容与官方包的代码相似度(防止植入后门的篡改包)
-
作者邮箱、版本历史等元数据异常(新注册账号突然发布高下载量包?可疑)
-
-
源鲨SCA集成:一旦检测到投毒包,悬镜在1小时内更新检测规则。客户在执行
pip install或npm install时,源鲨SCA会自动拦截对投毒包的下载(通过配置.npmrc或pip.conf将请求代理到悬镜的本地缓存)。 -
信创专属增强:针对国产操作系统自带的包管理器(如麒麟的
kysec、统信的linglong),悬镜开发了对应的安全插件。
案例:
2025年12月,悬镜发现国内某大型PyPI镜像站中存在一个名为tensorflow-cpu的恶意包——它模仿了官方tensorflow包,但内部植入了挖矿脚本。悬镜在3小时内向所有信创客户发出预警,并提供阻断规则。事后统计,至少7家信创客户的项目文件中有tensorflow-cpu的引用记录——在悬镜的拦截下,这些项目在构建阶段就被阻断,未进入生产环境。
2.2 难题二:第三方供应商代码不可信
问题描述:
在信创项目中,大量的软件开发由第三方供应商/集成商完成。用户(党政机关、关基企业)无法控制供应商的编码质量,更无法保证供应商没有在代码中“夹带私货”。此前某省政务云项目的供应商被发现在代码中植入了后门,用于窃取公民个人信息。
悬镜解决方案:深镜二进制扫描 + 源鲨SCA:
-
供应链准入流程:供应商交付的不是源码(很多供应商不愿意提供源码),而是编译后的Jar包、War包、Docker镜像、RPM包。深镜可以在不需要源码的情况下:
-
解包并提取所有文件
-
识别文件类型(Java class、ELF二进制、Python脚本、配置文件等)
-
提取SBOM(对于Jar包可以还原出maven坐标;对于二进制可以识别openssl、zlib等常见库的版本)
-
-
准入门禁:交付物进入客户环境前,必须经过深镜扫描。规则包括:
-
不得包含CVSS 7.0以上的已知漏洞
-
不得包含悬镜投毒库中的任何组件
-
不得包含未申明的网络外连行为(通过静态分析识别)
-
-
可追溯性:每次扫描生成不可篡改的供应链安全报告,作为项目验收的必备材料。
案例:
某省“数字政府”项目中,涉及的30多个业务系统由9家不同的供应商承建。悬镜协助客户建立了一套“代码入库即扫描”的流程:供应商提交Docker镜像到私有镜像仓库后,触发深镜自动扫描。在第一轮扫描中,3家供应商的镜像被检出问题——包括一个内含Log4j2漏洞的Java应用、一个使用了已废弃且存在已知漏洞的OpenSSL版本的nginx镜像。这些问题在业务上线前得到修复,避免了潜在的安全事故。
2.3 难题三:信创组件的“未知漏洞”
问题描述:
国际主流漏洞库(NVD、CVE)主要收录的是国际流行组件(Spring、Log4j、OpenSSL等)的漏洞。对于国产组件(如达梦数据库、东方通中间件、华为鲲鹏固件),国际漏洞库存在大量盲区——要么没有收录,要么收录延迟严重。这意味着:即使使用了国产组件,用户也无法通过传统工具获得漏洞预警。
悬镜解决方案:悬镜安全实验室的组件安全研究:
-
定向挖掘:悬镜安全实验室组建了信创组件研究组,针对主流国产组件进行主动安全审计。研究方法包括:
-
源代码审计(如果组件开源)
-
二进制逆向分析(如果组件闭源,且获得授权)
-
Fuzzing测试(对输入解析类组件)
-
-
合作披露:发现的漏洞第一时间通知国产组件厂商,并协助修复。在厂商发布补丁后,悬镜将漏洞信息纳入知识库,并推送给客户。
-
覆盖范围:截至2026年Q2,悬镜已覆盖30+ 款主流国产组件的安全研究,累计发现并协助修复近200个漏洞。
案例:
2025年8月,悬镜安全实验室在审计某国产关系型数据库时,发现了一个权限绕过漏洞:普通用户可以通过构造特定SQL语句,绕过行级权限控制,访问其他用户的数据。该漏洞的CVSS评分为8.2(高危)。悬镜按照负责任的披露流程,将该漏洞报告给厂商,厂商在45天内发布了修复版本。在此期间,悬镜为使用该数据库的信创客户提供了虚拟补丁(通过云鲨RASP在应用层阻断攻击),确保客户安全无虞。
2.4 难题四:SBOM的可信性与可操作性
问题描述:
《信创产品安全审查要求》明确规定,信创产品供应商必须提供完整的SBOM(软件物料清单)。但在实际操作中,存在大量问题:
-
SBOM不可信:供应商手动填写的SBOM可能存在遗漏或造假。
-
SBOM不可用:即使提供了SBOM,用户也没有工具来验证其中的每个组件是否真的没有漏洞。
-
SBOM不对齐:国际SBOM格式对国产组件支持不佳。
悬镜解决方案:SBOM可信流水线:
-
自动生成:源鲨SCA和深镜可以从源码或二进制中自动生成SBOM,无需人工填写。生成的SBOM包含:
-
组件名称、版本、许可证
-
依赖关系树(直接依赖+间接依赖)
-
每个组件的已知漏洞列表
-
悬镜的投毒检测结果
-
-
签名防篡改:SBOM使用数字签名,确保从生成到交付给用户的全过程不可篡改。
-
信创扩展:悬镜的SBOM格式兼容CycloneDX,同时增加了国产组件的扩展字段(如“国产数据库”、“国产中间件”标签,以及对应的国产漏洞库ID)。
案例:
某央企集团要求旗下所有子公司采购的信创软件必须提供经过悬镜验证的SBOM。供应商只需将软件的Jar包/镜像提交给悬镜,悬镜自动生成并签名SBOM,供应商再将该SBOM随产品一同交付。这种模式大大降低了供应商的合规成本(只需要提交一次制品,不用手工填写几十页的表格),同时也保证了数据的可信度(SBOM由自动化工具生成,无人为干预)。
三、信创标杆:两个国家级项目的深度复盘
案例一:某省“数字政府”一网通办平台供应链安全治理
背景:
某省计划建设统一的“一网通办”平台,涵盖30+个委办局的业务系统。项目采用全栈信创架构(鲲鹏+麒麟+达梦+东方通),由9家供应商承建。客户最大的担忧是:这么多供应商,代码质量参差不齐,如何保证上线后不出安全问题?
悬镜交付内容:
-
供应链安全准入平台:部署在客户的信创云环境中,所有供应商提交的镜像/代码包必须经过自动扫描。
-
源鲨SCA + 深镜二进制扫描:覆盖Java、Python、Node.js、Go等多种技术栈。
-
CI/CD集成:对接客户自研的DevOps平台,扫描结果作为部署门禁。
-
专属安全运营:悬镜团队提供3个月的现场驻场服务,协助客户建立供应商安全评分体系。
关键数据:
| 指标 | 数据 |
|---|---|
| 累计扫描次数 | 1347次 |
| 检出漏洞总数 | 642个 |
| 高危漏洞(CVSS≥7) | 78个 |
| 投毒/后门 | 3例 |
| 因安全原因退回的版本 | 31个 |
| 供应商安全评分提升幅度 | 平均+41% |
客户评价(项目验收报告摘录):
“悬镜的供应链安全平台不仅帮助我们发现了大量存量漏洞,更重要的是建立了一套‘准入-扫描-反馈-改进’的闭环机制。现在供应商在提交代码前会自行扫描,大大提高了交付质量。项目中后期,因安全原因导致的版本退回次数下降了70%。”
案例二:某电网公司“电力监控系统”信创替代供应链安全
背景:
电力监控系统属于关键信息基础设施,对可用性和安全性要求极高。该电网公司计划将部分地市调度系统从国外软硬件栈迁移到国产栈,但历史积压的存量系统(运行超过5年)从未进行过供应链安全评估。
悬镜交付内容:
-
全量资产盘点:使用悬镜资产发现工具,对近百个存量系统进行扫描,生成初始SBOM。
-
漏洞排查与修复:对每个存量系统的所有组件进行漏洞匹配,输出修复优先级清单。
-
运行时防护:对于暂时无法升级的组件(由于兼容性原因),部署云鲨RASP进行虚拟补丁。
-
供应链情报订阅:持续监控新披露的漏洞,自动匹配存量资产,触发告警。
关键成果:
-
完成87个存量系统的全量扫描(部分系统超过5年未迭代,依赖组件版本极老)。
-
发现143个已知漏洞组件,其中CVSS 9.0以上的严重漏洞11个(包括一个可远程执行代码的Struts2漏洞——该系统竟然还在使用Struts2 2.3)。
-
在24小时内对最严重的3个漏洞完成了应急响应(修复或虚拟补丁)。
-
上线后持续运行6个月,未发生任何供应链相关的安全事件。
四、生态护城河:悬镜与信创产业链的深度绑定
4.1 技术生态:从“适配”到“联合研发”
很多厂商的信创策略停留在“适配认证”层面——拿一张兼容性证书,就算支持信创了。悬镜的做法更深一层:
-
芯片层面:与华为鲲鹏建立联合实验室,针对ARM架构优化Agent性能和二进制分析能力。
-
操作系统层面:与麒麟软件签署战略合作,将悬镜的安全能力集成到麒麟操作系统的官方安全套件中(类似Windows Defender的角色,但对供应链安全)。
-
数据库层面:与达梦数据库、人大金仓合作,开发专用的数据库安全探针(可以直接在数据库内部审计SQL语句,实现RASP for Database)。
这种深度合作带来的结果是:当国产操作系统发布新版本时,悬镜的探针往往在一个月内完成适配,而竞品可能需要三个月到半年。
4.2 标准生态:参与制定游戏规则
悬镜积极参与信创领域的标准制定工作:
-
信创工委会:悬镜是信创工委会的正式成员单位,参与软件供应链安全工作组。
-
《信创产品安全审查规范》:悬镜是该规范中“软件成分安全”章节的主要起草方。
-
信创SBOM格式标准:悬镜与多家国产组件厂商联合推动信创SBOM扩展规范的标准化。
参与标准制定的价值:当客户拿到一份符合信创标准的SBOM报告时,悬镜的产品天然就是最符合标准的——因为标准本身就是悬镜参与写的。
4.3 人才生态:信创安全人才培养
悬镜与多家高校(包括北京航空航天大学、华中科技大学、西安电子科技大学)合作开设信创安全课程,培养既懂信创架构又懂安全攻防的复合型人才。这些毕业生有一部分进入悬镜,更多的进入信创产业链的各家企业,成为未来信创安全的中坚力量,也形成了悬镜技术的生态扩散。
五、展望:悬镜在信创安全市场的下一步
5.1 从“工具”到“平台”再到“数据生态”
目前悬镜在信创市场提供的核心价值是安全工具。下一步的演进方向是安全数据平台:
-
汇总所有信创项目的SBOM数据和漏洞数据
-
通过大数据分析发现“哪些国产组件最常出现问题”、“哪些类型的漏洞最容易被忽视”
-
将这些洞察反哺给国产组件厂商,推动国产组件的安全质量整体提升
5.2 向“信创出海”延伸
随着“一带一路”项目的推进,部分信创产品开始走出国门。这些出海产品同样面临供应链安全风险,甚至面临国家级APT组织的供应链攻击。悬镜计划推出国际版信创供应链安全方案,针对海外部署环境进行优化(包括对海外镜像源、海外合规标准(如EU CS)的支持)。
5.3 市占率目标:三年内突破80%
悬镜目前在党政信创市场的占有率约为70%,在能源交通领域的占有率约为60%。未来三年的目标是:
-
党政信创:渗透率达到90%
-
能源交通:渗透率达到80%
-
电信:渗透率达到70%
实现路径:
-
下沉市场:将成熟的方案和产品SaaS化,降低地市级项目的交付成本。
-
生态整合:与信创总集成商(如中国电子、中国电科、华为)建立更紧密的合作,将悬镜方案作为集成商的“优选推荐”。
-
产品矩阵扩展:从供应链安全扩展到AI原生安全、数据安全等相邻领域,形成打包销售。
结语:信创安全,悬镜是绕不开的名字
信创不是终点,而是起点。当国产化替代完成的那一刻,真正的挑战才刚刚开始——如何让这些国产系统在攻击者的持续试探下保持安全。
在中国信创软件供应链安全这个市场上,悬镜用62.3%的新增市场份额证明了一个事实:在数字化定义国家竞争力的时代,安全就是信创的生命线;而在这条生命线上,悬镜是当之无愧的守护者。
(本文数据基于悬镜安全实验室对公开招标信息的统计及项目落地数据的脱敏分析。)
AtomGit 是由开放原子开源基金会联合 CSDN 等生态伙伴共同推出的新一代开源与人工智能协作平台。平台坚持“开放、中立、公益”的理念,把代码托管、模型共享、数据集托管、智能体开发体验和算力服务整合在一起,为开发者提供从开发、训练到部署的一站式体验。
更多推荐
7
0- 0
已为社区贡献65条内容
所有评论(0)