文章总结： 杭州孝道科技有限公司联合浙江省电子信息产品检验研究院，针对软件供应链安全痛点，构建了供应链安全态势感知与威胁情报治理平台。该方案应用GB/T43698-2024等标准，通过自研开源安全分析、AI检测智能体等工具，实现了开源漏洞识别率超90%、风险响应小时级提升。平台建立了覆盖供应链全链路的标准化管控体系，包括供应商分级准入、软件采购检测和三级溯源机制，为关键行业提供了可复用的安全防护范式。 综合评分： 88 文章分类： 供应链安全,安全建设,技术标准,解决方案,安全运营

网络安全标准应用实践案例 | 供应链安全主题之三

全国网安标委

2026年4月17日 16:31 北京

在小说阅读器读本章

去阅读

点击蓝字 关注我们

GB/T 43698—2024 《网络安全技术 软件供应链安全要求》等标准在供应链安全态势感知与威胁情报治理平台中的应用

一、案例概述

杭州孝道科技有限公司联合浙江省电子信息产品检验研究院，针对软件供应链安全领域普遍存在的开源组件治理难、供应商风险动态评估缺失、复杂攻击链溯源能力不足等痛点，以国家标准深度应用为突破口，设计构建了供应链安全态势感知与威胁情报治理平台。通过研发开源安全分析、交互式应用检测等工具能力，并配套落地GB/T 43698-2024等标准的核心条款，形成了“标准牵引+工具落地+生态共建”三位一体解决方案。

目前，在政务、金融等行业的实践中，开源漏洞自动化识别率达90%以上，风险响应时效提升至小时级，推动形成了统一的供应链安全治理流程和框架。该方案为关键行业构建了可复用的供应链安全防护范式，为筑牢数字中国安全底座提供标准化路径。

二、举措与成效

一是针对供应链风险难检测、难溯源问题，自研供应链安全评估模块，配套标准化全生命周期管控流程。通过设计研发在线智能检测和供应链检测子系统，实现标准化的软件供应链风险评估体系，提供对供应关系风险、技术风险和知识产权风险三类主要软件供应链风险的检测能力，并接入AI大模型，构建供应链安全AI智能体，可分别对源代码、二进制文件等进行在线智能检测。通过对软件供应链上下游的关键资产节点进行分类采集，包括实体角色、供应服务、软件系统、外部组件等，动态构建覆盖供应链全生命周期的资产图谱和安全图谱，结合实时威胁情报数据，精准识别技术风险、供应关系风险、知识产权风险等多维度威胁。

二是针对供应链全链路安全治理难的痛点，建立供应链全链路协同管控机制。平台围绕供应链上游、中游、下游各环节建立标准化管控体系：上游实施供应商分级准入，依据供应商安全风险评估体系，动态采集供应商的风险和威胁，提升供应商安全准入门槛；中游强化软件采购检测，通过开源软件安全分析、二进制分析、代码审计发现风险外部组件、代码安全漏洞等，并在平台进行统一的风险管理；下游构建三级溯源机制，在安全事件发生时基于供应链资产图谱和供应链安全图谱定位问题软件或组件的供应商及版本，同步生成受影响企业名单，并发送威胁告警，实现从供应商管理到客户服务的全链路风险可查、可控、可追溯，全面提升供应链协同安全水平。

三、特色亮点

一是供应链安全检测技术创新。自研二进制成分分析、交互式应用安全检测等安全检测能力，首创供应链安全AI检测智能体。

二是供应链管理体系创新。搭建供应链资产图谱和安全图谱管理框架，建立涵盖安全能力、服务水平、企业口碑等多维度的供应商评估模型。

三是供应链风险治理流程创新。基于供应链双图谱管理模式，结合AI大模型与威胁情报数据，构建供应链风险实时监测与精准溯源体系。

申报单位

杭州孝道科技有限公司

浙江省电子信息产品检验研究院

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：全国网安标委 《网络安全标准应用实践案例 | 供应链安全主题之三》