推荐序五

当今世界，数字化的趋势已经是全球共识，而数字化世界的基础则完全由程序（软件）构建，无论是硬件设备还是虚拟化云计算，或者应用系统和五大生产要素之一的数据。简而言之，软件正在同化物理世界。而在物理世界中，国民经济各行各业经营活动，均离不开相关产品服务的正常供应，从原材料采购到加工生产形成产品，再到分发、使用、维护等一系列过程，简称为供应链，这一供应过程映射到信息化、数字化世界中，体现了软件供应链的概念。聚焦到安全领域，软件供应链安全成为全球各国政府和经济体的关注点成为必然。

在此背景下，本书应运而生。通读完本书，我认为，本书从软件供应链安全的框架到能力提供方，再到产品研发和第三方软件的威胁防护，还包括相关的职责、岗位、人员和制度，内容全面、翔实。

在软件供应链安全治理框架方面，作者提出了前置伴生、内生可控和高效便捷三大安全理念的治理体系，强调从软件开发的最初阶段就将安全措施作为核心来考虑，确保安全措施与软件生命周期的每个环节天然融合，形成内生的安全机制。同时，也强调在保证这一安全性的基础上，不损害操作的高效性和便捷性，确保快速响应市场变化和客户需求。最终建立一个既安全又灵活的软件供应链环境，以应对日益复杂的技术挑战，实现安全与效率的平衡。

本书是一本不仅言之有物，且行之有效的参考读物。推荐与信息化、数字化相关的技术人员阅读。

李少鹏
数世咨询创始人、CEO