从软件安全开发生命周期实践的角度保障软件供应链安全

软件供应链安全覆盖软件的开发生命周期和生存周期,且与软件开发过程中的人员、工具、环境等因素密切相关,因而通过不同途径和不同方式能使得软件系统自带安全缺陷,并最终被恶意人员利用形成网络安全事件。文章基于行业主流的软件安全开发生命周期(S-SDLC)流程方法,从软件开发单位自身的安全开发管理、安全开发技术、供应商管理等方面,提出了软件开发过程中保障软件供应链安全的体系化方法,为软件开发过程中尽可能地避免和消除软件安全缺陷、保障软件供应链安全奠定重要基础。     

开源软件供应链安全研究综述

随着近年来开源软件的蓬勃发展,现代化软件的开发和供应模式极大地促进了开源软件自身的快速迭代和演进,也提高了社会效益.新兴的开源协作的软件开发模式,使得软件开发供应流程由较为单一的线条转变为复杂的网络形态.在盘根错节的开源软件供应关系中,总体安全风险趋势显著上升,日益受到学术界和产业界的重视.针对开源软件供应链,厘清了其关键环节,基于近10年的攻击事件,归纳了开源软件供应链的威胁模型和安全趋势,并通过对现有安全研究成果的调研分析,从风险识别和加固防御这两个方面总结了开源软件供应链安全的研究现状,最后对开源软件供应链安全所面临的挑战和未来研究方向进行了展望和总结.     

开源软件供应链安全问题研究

当前,开源已经成为软件开发的重要模式之一。由于开源开发模式具有代码来源多样、依赖关系复杂等特点,使得开源软件面临代码漏洞风险、供应链攻击风险、知识产权风险、可持续维护风险等供应链安全问题,且问题呈现出快速增长态势。本文基于对开源软件供应链中的安全风险分析,提出从开源软件安全漏洞检测、软件成分分析、许可证冲突检测、开源生态可持续治理四个方面进行安全治理的方法,指出构建安全软件供应链面临依赖关系复杂、结构脆弱等挑战,对软件成分分析、供应链构建等未来研究方向进行了展望。     

开源软件供应链研究综述

开源软件已经成为现代社会的一项关键基础设施,支撑着几乎所有领域的软件开发.通过安装依赖、API调用、项目fork、文件拷贝和代码克隆等形式的代码复用,开源软件之间形成了错综复杂的供应(依赖)关系网络,被称为开源软件供应链.一方面,开源软件供应链为软件开发提供了便利,已然成为软件行业的基石.另一方面,上游软件的风险可以沿着开源软件供应链波及众多的下游软件,使开源软件供应链呈现牵一发而动全身的特点.开源软件供应链近年来逐渐成为学术界和工业界的关注焦点.为了帮助增进研究人员对开源软件供应链的认识,从整体性的角度,对开源软件供应链给出定义和研究框架;然后,对国内外的研究工作进行系统文献调研,总结结构与演化、风险传播与管理、依赖管理3个方面的研究现状;最后,展望开源软件供应链的研究挑战和未来研究方向.     

中国移动终端软件质量现状浅析

本文从智能移动终端软件的发展现状入眼,着重分析了国内智能移动终端软件的质量现状以及存在的问题。并以国外成熟软件市场作为借鉴和参考,提出推动我国智能移动终端软件质量改进的方法和建议。以期为相关管理和决策机构提供参考,为软件开发企业提供借鉴。     

智能汽车行业软件供应链安全风险与治理

汽车产业的智能化、网联化、自动化、共享化程度不断提高，面临的软件供应链安全风险也越发严重。本文首先对智能汽车软件以及软件供应链进行梳理说明，并分析了近年来智能汽车行业部分典型软件供应链安全事件，其次分析了识别智能汽车行业软件供应链风险，最后提出适用于智能汽车软件供应链供需双方的安全治理策略和软件安全检测技术。     

软件供应链安全保护措施

随着信息技术的飞速发展,软件供应链安全问题日益突出。恶意软件、漏洞利用和供应链攻击等威胁性行为时有发生,给用户的数据安全和商业利益带来巨大风险。因此,保护软件供应链安全成为当今信息安全领域的关键挑战。本文旨在探讨软件供应链安全保护的有效方法。首先,详细介绍了当前软件供应链生态系统中发生的安全事件,对软件供应链存在的安全风险进行了分析,以揭示其潜在威胁。其次,重点介绍了我国在供应链安全领域发布或制定的相关标准,以突出国家对加强供应链安全保护的重视。最后,介绍了公安部网络安全等级保护评估中心结合多年网络安全实战经验提出的软件供应链安全防护措施。     

供应链集成系统的研究意义与内容

从研究供应链管理产生的社会、经济和技术背景入手,分析了供应链管理研究的现状和面临的问题,从而提出了开展供应链集成系统(Integrated Supply Chain System)研究的必要性。以大型炼油工业企业为例,全面分析了进行供应链集成系统研究所依赖的关键技术及其发展现状,并提出采用多Agent系统作为这些技术的集成工具开展供应链集成系统研究;最后提出了有待研究的课题。     

美国政府IT供应链安全政策和措施分析

随着贸易全球化的发展,本文介绍了美国有关单位在采购IT产品时从原料采购、生产、运输直至交付给最终客户的过程中有可能存在影响IT产品安全性的因素,以及美国对IT产品供应链的安全管理,并对我国相关工作提出了建议。     

浅析Web应用软件开发安全

Web应用软件的安全问题日益突出, 提高软件代码自身安全和在软件开过程中控制安全风险成为亟需解决的问题. 本文首先剖析了Web应用常见的安全漏洞, 分析其表现形式、形成原因、规避措施, 并提出了在软件开发生命周期全过程中预防安全漏洞的措施和方法. 通过从软件开发过程管理和技术手段两个方面系统性地预防Web应用安全风险, 有效地提高了交付Web应用软件的安全性.     

面向Java语言生态的软件供应链安全分析技术

随着开源软件技术的不断发展,为提高开发效率并降低人力成本,组件化开发模式逐渐得到行业的认可,开发人员可以利用相关工具便捷地使用第三方组件,也可将自己开发的组件贡献给开发社区,从而形成了软件供应链.然而,这种开发模式必然会导致高危漏洞随组件之间的依赖链条扩散到其他组件或项目,从而造成漏洞影响的扩大化,例如2021年底披露的Log4j2漏洞,通过软件供应链对Java生态安全造成了巨大影响.当前针对Java语言软件供应链安全的分析与研究大多是对组件或项目进行抽样调研,这忽略了组件或项目对整个开源生态的影响,无法精准衡量其对生态所产生的影响.为此,本文针对Java语言生态软件供应链安全分析技术展开研究,首次给出了软件供应链安全领域的组件依赖关系和影响力等重要指标的形式化定义,并依据此提出了基于索引文件的增量式组件配置收集和基于POM语义的多核并行依赖解析,设计实现了Java开源生态组件依赖关系提取与解析框架,收集并提取超过880万个组件版本和6500万条依赖关系.在此基础上,本文以受到漏洞影响的日志库Log4j2为例,全面评估其对生态的影响以及修复比例,结果表明该漏洞影响了生态15.12%的组件(71082个)以及16.87%的组件版本(1488971个)同时仅有29.13%的组件在最新版本中进行了修复.     

面向软件供应链的异常分析方法综述

软件在国民经济的各个领域占据越来越重要的地位.万物互联的大背景下,信息之间的交互、分析、协同变得越来越普遍,程序/软件之间的依赖关系逐渐增多,这使得人们对系统可靠性和健壮性提出了更高的要求.由开源组件和第三方组件构成的软件供应链,其所面临的安全问题近年来成为了学术界和工业界共同关注的焦点.库函数作为开源软件的重要组成部分,与软件供应链安全有着密切的联系.为了提高软件开发效率,软件库或应用程序编程接口(API)在程序编写过程中会被频繁使用,但库函数中存在的错误或漏洞可能会被攻击者利用,从而损害软件供应链安全.这些错误或漏洞往往与库函数中存在的异常有关,因此本文对适用于库函数的异常分析方法从精度和效率两方面分别进行总结归纳,对于每种异常分析方法的基本思想和重要过程进行阐述,并针对库函数异常分析面临的挑战给出了初步解决思路.对软件供应链中的库函数进行异常分析有助于增强软件系统的健壮性,进而保障软件供应链的安全.     

面向操作系统可靠性保障的开源软件供应链

软件可靠性是软件工程领域中的研究热点之一,故障率分析是软件可靠性的典型研究方法.然而,软件构建模式已从单体模式演进到以开源软件为代表的规模化协作模式,操作系统作为代表性产物之一,所含开源软件之间通过组合关系和依赖关系,形成了一个包含上万节点的供应关系网络.典型方法缺乏对供应关系的考量,无法准确识别和评估因此而引入的软件可靠性问题.把供应链概念体系拓展到开源软件领域,提出一种基于知识的面向开源协作模式下软件供应可靠性的管理方法：面向开源软件生态进行本体设计,构建开源软件知识图谱,实现知识的提取、存储和管理,以知识为驱动,结合传统的供应链管理方法,提出一组面向开源软件供应链的可靠性管理方法,构成一套开源软件供应链管理系统.实验以Linux操作系统发行版的构建为例,展示了开源软件供应链对操作系统可靠性的支撑能力.结果表明,开源软件供应链将有助于理清和评估大型复杂系统软件的可靠性风险.     

Open Source Software Supply Chain for Reliability Assurance of Operating Systems

Software reliability is one of the research hotspots in the field of software engineering, and failure rate analysis is a typical research method for software reliability. However, the software construction mode has evolved from a single mode to a large-scale collaborative model represented by open source software. As one of the representative products, the operating system includes open source software connected through combinations and dependencies to form a supply network of tens of thousands of nodes. Typical methods lack consideration of supply relationships and cannot accurately identify and evaluate the software reliability issues introduced as a result. This paper extends the concept of supply chain to the field of open source software and proposes a knowledge-based management method for software supply reliability in a collaborative model. The ontological body is designed for the open source software ecosystem firstly, and then the nowledge graph of open source software is constructed to achieve the extraction, storage and management of knowledge; driven by knowledge, combined with traditional supply chain management methods, a set of reliability management methods for open source software supply chain is proposed, which constitutes a management system of open source software supply chain. With the construction of a Linux operating system distribution as an example, the experiment demonstrates how the open source software supply chain supports the reliability of the operating system. Results show that the open source software supply chain will help to clarify and evaluate the reliability risk of large complex system software.     

基于Multi-agent系统架构的供应链绩效指标体系

分析了有关构建供应链绩效评价体系的研究现状，指出了其存在的问题。以零售商为主导的供应链中服务绩效体系为例，提出了基于Multi-agent系统研究供应链绩效评价体系的方法。该方法考虑了供应链关系的动态性和复杂性等特点，是对供应链未来绩效进行前瞻性管理的有效方法。     

供需链性能管理系统的设计与实现

基于对供需链管理研究现状的分析,明确了供需链性能管理在供需链管理中的重要地位,并从结构、功能、接口、软件实现等方面介绍了供需链性能管理系统的设计和实现过程,对其应用前景和进一步的研究也进行了讨论。     

基于Agent面向软件重用的敏捷供应链模型

敏捷性和快速响应性是现代企业成功的关键因素，供应链管理正成为现代企业提高竞争力而采取的有效的先进手段，它要求敏捷化的信息系统支持，满足企业快速构造供应链的需要，因此，如何实现供应链系统的软件重用，就具有非常重要的现实意义，提出了将企业的商务逻辑与具体事务处理分开的思想，建立基于agent的敏捷化供应链管理模型，通过对商务逻辑的规则模型和软件代理的活动行为模型建立，利用ECA规则协调多代理系统的活动，从而有效地支持供应链动态建立，过程重组，增强供应链系统信息分布处理，软件可重用和规模可扩展能力。     

Managing Flexibility for Inter-Organizational Electronic Commerce

Electronic commerce has the potential to significantly impact on supply chain management in today's highly dynamic business environment. Enterprises are eager to tap into new opportunities such as the proliferation of alternatives in the electronic marketplace, real-time access to supply information including both product price and leadtime at virtually no cost, and an efficient inter-organizational electronic collaboration infrastructure. In our work, we model different business entities as software agents interconnected via the Internet. Our main research focus is how to coordinate supply chain management agents dynamically and flexibly such that goods and services can be delivered at the right time in a cost-effective manner.