共查询到16条相似文献,搜索用时 750 毫秒
1.
开源软件已经成为现代社会的一项关键基础设施,支撑着几乎所有领域的软件开发.通过安装依赖、API调用、项目fork、文件拷贝和代码克隆等形式的代码复用,开源软件之间形成了错综复杂的供应(依赖)关系网络,被称为开源软件供应链.一方面,开源软件供应链为软件开发提供了便利,已然成为软件行业的基石.另一方面,上游软件的风险可以沿着开源软件供应链波及众多的下游软件,使开源软件供应链呈现牵一发而动全身的特点.开源软件供应链近年来逐渐成为学术界和工业界的关注焦点.为了帮助增进研究人员对开源软件供应链的认识,从整体性的角度,对开源软件供应链给出定义和研究框架;然后,对国内外的研究工作进行系统文献调研,总结结构与演化、风险传播与管理、依赖管理3个方面的研究现状;最后,展望开源软件供应链的研究挑战和未来研究方向. 相似文献
2.
当前,开源已经成为软件开发的重要模式之一。由于开源开发模式具有代码来源多样、依赖关系复杂等特点,使得开源软件面临代码漏洞风险、供应链攻击风险、知识产权风险、可持续维护风险等供应链安全问题,且问题呈现出快速增长态势。本文基于对开源软件供应链中的安全风险分析,提出从开源软件安全漏洞检测、软件成分分析、许可证冲突检测、开源生态可持续治理四个方面进行安全治理的方法,指出构建安全软件供应链面临依赖关系复杂、结构脆弱等挑战,对软件成分分析、供应链构建等未来研究方向进行了展望。 相似文献
3.
本文是首篇对开源密码软件供应链安全问题进行调研、分析和总结的综述文章.首先,通过梳理和分析关于开源软件供应链、加密算法等相关领域文献,探讨了开源软件供应链与开源密码软件供应链的差异,明确了开源密码软件供应链的研究范围;其次,以密码软件供应链典型安全事件作为切入点,构建了开源密码软件供应链风险模型;再次,针对梳理出来的各类安全风险,横向参考了实体供应链风险管理成熟案例以及开源密码软件的风险应对措施,总结了开源密码软件供应链的安全风险防控手段.最后,指出了开源密码软件供应链领域所面临的挑战和机遇,并指出了未来的研究方向. 相似文献
4.
软件可靠性是软件工程领域中的研究热点之一,故障率分析是软件可靠性的典型研究方法.然而,软件构建模式已从单体模式演进到以开源软件为代表的规模化协作模式,操作系统作为代表性产物之一,所含开源软件之间通过组合关系和依赖关系,形成了一个包含上万节点的供应关系网络.典型方法缺乏对供应关系的考量,无法准确识别和评估因此而引入的软件可靠性问题.把供应链概念体系拓展到开源软件领域,提出一种基于知识的面向开源协作模式下软件供应可靠性的管理方法:面向开源软件生态进行本体设计,构建开源软件知识图谱,实现知识的提取、存储和管理,以知识为驱动,结合传统的供应链管理方法,提出一组面向开源软件供应链的可靠性管理方法,构成一套开源软件供应链管理系统.实验以Linux操作系统发行版的构建为例,展示了开源软件供应链对操作系统可靠性的支撑能力.结果表明,开源软件供应链将有助于理清和评估大型复杂系统软件的可靠性风险. 相似文献
5.
开源软件是当前日渐流行、同时也是争议最多的软件开发模式。在我国,越来越多的软件开发商正加入到开源软件的开发中来。结合典型案例,探讨了在使用开源软件进行软件开发过程中可能遭遇到的来自著作权、专利、开源许可协议、商标法等法律风险问题,以及国产开源软件的知识产权归属和开放源代码质量问题。希望借此帮助我国开源厂商、开发者认清使用开源软件进行软件开发的各类风险。 相似文献
6.
软件在国民经济的各个领域占据越来越重要的地位.万物互联的大背景下,信息之间的交互、分析、协同变得越来越普遍,程序/软件之间的依赖关系逐渐增多,这使得人们对系统可靠性和健壮性提出了更高的要求.由开源组件和第三方组件构成的软件供应链,其所面临的安全问题近年来成为了学术界和工业界共同关注的焦点.库函数作为开源软件的重要组成部分,与软件供应链安全有着密切的联系.为了提高软件开发效率,软件库或应用程序编程接口(API)在程序编写过程中会被频繁使用,但库函数中存在的错误或漏洞可能会被攻击者利用,从而损害软件供应链安全.这些错误或漏洞往往与库函数中存在的异常有关,因此本文对适用于库函数的异常分析方法从精度和效率两方面分别进行总结归纳,对于每种异常分析方法的基本思想和重要过程进行阐述,并针对库函数异常分析面临的挑战给出了初步解决思路.对软件供应链中的库函数进行异常分析有助于增强软件系统的健壮性,进而保障软件供应链的安全. 相似文献
7.
随着信息技术产业的发展和软件开发需求的扩展,软件开发的难度与复杂度不断上升,针对软件供应链的重大安全事件时有发生。这些事件展现了软件供应链攻击低成本而高效的特点以及软件供应链管理的复杂性,使得软件供应链的安全问题受到了广泛的关注,相关领域的研究工作也进入了起步阶段。本文从软件供应链安全的定义以及发展历程入手,介绍了软件供应链安全问题的相关背景,并通过对现有研究成果的调研分析,将软件供应链安全问题分为管理问题和技术问题两个方面,从这两个方面入手介绍了软件供应链安全的研究现状,然后结合研究现状总结了软件供应链安全所面临的现实挑战,并提出了未来可能的研究方向。 相似文献
8.
2000年以来,开源软件取得了显著进展,展示出一种以用户创新为驱动且低成本高质量的新型软件开发方式.越来越多的商业组织参与到开源项目中,期望利用开源软件及其优势实现自身的商业目标.由于开源软件开发方式与传统的软件工程方法存在显著差异,为了加入开源社区,商业组织必须要对自身原有的软件开发方式、业务模式等做出调整.在这种情况下,一个亟待解决的问题是商业组织应当采取怎样的参与模式才能有效融入开源社区.为此,本文进行了如下三个方面的研究:1.采用雪球采样方法对OpenStack相关的文本数据进行收集,为定性分析提供数据基础;2.借鉴扎根理论,通过对所收集数据的过滤和归纳,总结出不同商业组织参与OpenStack的模式;3.在此基础上,提炼出四种更具一般性的参与模式,为商业组织参与开源项目提供经验参考与决策支持. 相似文献
9.
10.
使用开源软件的领域与日俱增,享受开源软件的用户也越来越多,那么使用开源软件到底安不安全呢?大家在使用开源软件时常常有这样的困惑,到底开源软件安全是否能达到商业软件的安全性能?目前有哪些可以增强开源软件安全的项目?此外,开源软件几乎都是采用大集市式的开发模式进行开发,这样宽松的环境开发出来的软件是否安全?又该如何提高开源软件开发和应用安全?本次开源专题将介绍开源软件的安全性及开发过程中的安全性。 相似文献
11.
Guanyu Liang Yanjun Wu Jingzheng Wu Chen Zhao 《International Journal of Software and Informatics》2021,11(2):217-241
Software reliability is one of the research hotspots in the field of software engineering, and failure rate analysis is a typical research method for software reliability. However, the software construction mode has evolved from a single mode to a large-scale collaborative model represented by open source software. As one of the representative products, the operating system includes open source software connected through combinations and dependencies to form a supply network of tens of thousands of nodes. Typical methods lack consideration of supply relationships and cannot accurately identify and evaluate the software reliability issues introduced as a result. This paper extends the concept of supply chain to the field of open source software and proposes a knowledge-based management method for software supply reliability in a collaborative model. The ontological body is designed for the open source software ecosystem firstly, and then the nowledge graph of open source software is constructed to achieve the extraction, storage and management of knowledge; driven by knowledge, combined with traditional supply chain management methods, a set of reliability management methods for open source software supply chain is proposed, which constitutes a management system of open source software supply chain. With the construction of a Linux operating system distribution as an example, the experiment demonstrates how the open source software supply chain supports the reliability of the operating system. Results show that the open source software supply chain will help to clarify and evaluate the reliability risk of large complex system software. 相似文献
12.
Software productivity has always been one of the most critical metrics for measuring software development. However, with the open-source community (e.g., GitHub), new software development models are emerging. The traditional productivity metrics do not provide a comprehensive measure of the new software development models. Therefore, it is necessary to build a productivity measurement model of open source software ecosystem suitable for the open-source community’s production activities. Based on the natural ecosystem, this paper proposes concepts related to the productivity of open source software ecosystems, analyses influencing factors of open source software ecosystem productivity, and constructs a measurement model using these factors. Model validation experiments show that the model is compatible with a large portion of open source software ecosystems in GitHub. This study can provide references for participants of the open-source software ecosystem to choose proper types of ecosystems. The study also provides a basis for ecosystem health assessment for researchers interested in ecosystem quality. 相似文献
13.
随着开源软件技术的不断发展,为提高开发效率并降低人力成本,组件化开发模式逐渐得到行业的认可,开发人员可以利用相关工具便捷地使用第三方组件,也可将自己开发的组件贡献给开发社区,从而形成了软件供应链.然而,这种开发模式必然会导致高危漏洞随组件之间的依赖链条扩散到其他组件或项目,从而造成漏洞影响的扩大化,例如2021年底披露的Log4j2漏洞,通过软件供应链对Java生态安全造成了巨大影响.当前针对Java语言软件供应链安全的分析与研究大多是对组件或项目进行抽样调研,这忽略了组件或项目对整个开源生态的影响,无法精准衡量其对生态所产生的影响.为此,本文针对Java语言生态软件供应链安全分析技术展开研究,首次给出了软件供应链安全领域的组件依赖关系和影响力等重要指标的形式化定义,并依据此提出了基于索引文件的增量式组件配置收集和基于POM语义的多核并行依赖解析,设计实现了Java开源生态组件依赖关系提取与解析框架,收集并提取超过880万个组件版本和6500万条依赖关系.在此基础上,本文以受到漏洞影响的日志库Log4j2为例,全面评估其对生态的影响以及修复比例,结果表明该漏洞影响了生态15.12%的组件(71082个)以及16.87%的组件版本(1488971个)同时仅有29.13%的组件在最新版本中进行了修复. 相似文献
14.
Christian Payne 《Information Systems Journal》2002,12(1):61-78
Abstract With the rising popularity of so‐called ‘open source’ software there has been increasing interest in both its various benefits and disadvantages. In particular, despite its prominent use in providing many aspects of the Internet's basic infrastructure, many still question the suitability of such software for the commerce‐oriented Internet of the future. This paper evaluates the suitability of open source software with respect to one of the key attributes that tomorrow's Internet will require, namely security. It seeks to present a variety of arguments that have been made, both for and against open source security and analyses in relation to empirical evidence of system security from a previous study. The results represent preliminary quantitative evidence concerning the security issues surrounding the use and development of open source software, in particular relative to traditional proprietary software. 相似文献
15.
在电力供应链安全风险监测中,针对传统方法下的电力供应链稳定性较低的问题,提出一种基于模糊聚类的电力供应链安全风险监测方法,利用模糊聚类算法对电力供应链中存在的不良数据进行辨识,利用不良数据并结合电力供应链的自身特点,建立基于不良数据的电力供应链安全风险识别模型对电力供应链进行安全风险识别,对安全风险识别数据进行归一化处理与分类处理,实现电力供应链的安全风险监测。为了验证该方法下的电力供应链稳定性,与传统方法进行对比实验,得出结果为该方法与基于决策树规则提取的电力供应链安全风险监测方法、基于稳定特征向量的电力供应链安全风险监测方法、基于Relief算法的电力供应链安全风险监测方法下的电力供应链稳定性分别为86.2%、72.2%、63.3%、42.6%,通过比较可知,该方法能够使电力供应链保持较高的稳定性。 相似文献
16.
在当前经济全球化背景下的复杂供应链网络中,依靠传统供应链风险管理方法难以进行风险管理,而供应链风险的传播模式和影响因素尚不明确,需要借助计算机仿真方法,对供应链风险传播进行仿真实验。为明确供应链上风险的传播模式和影响因素,对供应链风险的传导机理进行了分析,建立了供应链网络风险传播BSR-RP模型。结合计算机仿真方法,利用Netlogo仿真软件,从供应链整体角度对模型进行了仿真分析。通过调整企业影响力、风险初始模糊程度、风险模糊程度递减参数,探究各影响因素对风险传播的影响。结果表明,企业影响力越大、风险模糊程度越高,风险在供应链网络中的传播范围越广、速度越快。模型从企业和风险的特性角度,一定程度上反映了供应链风险传播的特征。 相似文献