| 软件供应链 SBOM 关键技术研究 |
| |
| 作者姓名: | 孙泽雨 吴敬征 凌祥 魏怡琳 罗天悦 武延军 |
| |
| 作者单位: | 中国科学院 软件研究所 智能软件研究中心, 北京 100190;国科大杭州高等研究院 智能科学与技术学院, 浙江 杭州 310024;中国科学院大学, 北京 100049;中国科学院 软件研究所 智能软件研究中心, 北京 100190;基础软件与系统重点实验室(中国科学院 软件研究所), 北京 100190;计算机科学国家重点实验室(中国科学院 软件研究所), 北京 100190 |
| |
| 基金项目: | 国家自然科学基金(62202457); 中国科学院战略性先导科技专项(XDA0320401); 2023年开源社区软件物料清单SBOM平台项目(E3GX310201) |
| |
| 摘 要: | 供应链级别的开源软件及组件复用是当前软件开发的主流模式. 该模式避免了重复开发, 降低了研发成本, 提高了开发效率, 但是也不可避免地存在组件的来源未知, 成分不清, 漏洞不明, 许可证违规等问题. 为解决上述问题, 研究人员提出了软件物料清单(software bill of material, SBOM). SBOM详细列出了构成软件的组件及组件之间的关系, 揭示了潜在的和已知的威胁, 使软件透明化. 自提出以来, 国内外研究人员针对SBOM的研究主要聚焦在SBOM的现状、应用和工具上, 缺少理论化、体系化的研究. 综述SBOM的背景、基本概念、生成技术、工具及性能分析、应用、挑战与趋势, 并提出融合细粒度安全漏洞感知, 许可证冲突检测的SBOM+, 以期从概念、技术、工具、应用和发展等方面为SBOM、软件开发、供应链安全等研究人员提供支撑.
|
| 关 键 词: | 软件供应链 开源软件 软件成分 SBOM |
| 收稿时间: | 2024-04-30 |
| 修稿时间: | 2024-06-17 |
|
| 点击此处可从《软件学报》浏览原始摘要信息 |
|
点击此处可从《软件学报》下载免费的PDF全文 |
|
