推荐序四

“链”者，一金一连，即用金属连套而成，紧密相连，不可或缺。《六书故》释义：今人以锒铛之类相连属者为链。软件供应链亦是如此，它是指软件在需求设计、开发、验证、发布和部署等各个阶段涉及的编码过程、开发流程、组件引入、投入生产和最终软件产品分发的过程。软件供应链安全涉及该“链”的每个环节，包括使用的研发工具、设备、本身的编码过程，或供应链上游的代码、模块和服务所带来的安全风险，以及在软件交付渠道和使用过程中存在的安全风险。当下，软件供应链安全事件频发，安全风险不断加剧，企业也越来越重视。这本书应时而生，并从道、法、术、器四个方面对软件供应链安全进行了深入探讨。

“道”即核心思想，本书提出了一套基于前置伴生、内生可控和高效便捷三大安全理念的软件供应链安全治理框架。这一框架为软件供应链安全治理提供了明确的方向和思路。

“法”即规章方法，本书提出了人员、供应商、采购使用、开发过程等相关的制度。这些制度为落实软件供应链安全治理提供了重要的指导和依据。

“术”即行为方式，本书详细阐述了治理框架涉及的需求设计、开发、验证、发布和部署等各个环节的实践指南。这些实践指南为相关人员在具体工作中提供了实用的方法和技巧。

“器”即工具，指落实软件供应链安全治理时使用的SCA、IAST等工具。这些工具为相关人员提供了有效的手段和工具，有助于提高软件供应链安全治理的效率和效果。

本书对于网络安全从业者尤其是应用安全管理人员来说极具参考价值。通过阅读本书，相关人员可以深入了解软件供应链安全的各个方面，从而有效落实企业内部软件供应链安全治理工作。

孙钢
浙商银行安全研究专家