软件供应链安全综述

随着信息技术产业的发展和软件开发需求的扩展,软件开发的难度与复杂度不断上升,针对软件供应链的重大安全事件时有发生。这些事件展现了软件供应链攻击低成本而高效的特点以及软件供应链管理的复杂性,使得软件供应链的安全问题受到了广泛的关注,相关领域的研究工作也进入了起步阶段。本文从软件供应链安全的定义以及发展历程入手,介绍了软件供应链安全问题的相关背景,并通过对现有研究成果的调研分析,将软件供应链安全问题分为管理问题和技术问题两个方面,从这两个方面入手介绍了软件供应链安全的研究现状,然后结合研究现状总结了软件供应链安全所面临的现实挑战,并提出了未来可能的研究方向。     

开源软件供应链安全研究综述

随着近年来开源软件的蓬勃发展,现代化软件的开发和供应模式极大地促进了开源软件自身的快速迭代和演进,也提高了社会效益.新兴的开源协作的软件开发模式,使得软件开发供应流程由较为单一的线条转变为复杂的网络形态.在盘根错节的开源软件供应关系中,总体安全风险趋势显著上升,日益受到学术界和产业界的重视.针对开源软件供应链,厘清了其关键环节,基于近10年的攻击事件,归纳了开源软件供应链的威胁模型和安全趋势,并通过对现有安全研究成果的调研分析,从风险识别和加固防御这两个方面总结了开源软件供应链安全的研究现状,最后对开源软件供应链安全所面临的挑战和未来研究方向进行了展望和总结.     

开源软件供应链安全问题研究

当前,开源已经成为软件开发的重要模式之一。由于开源开发模式具有代码来源多样、依赖关系复杂等特点,使得开源软件面临代码漏洞风险、供应链攻击风险、知识产权风险、可持续维护风险等供应链安全问题,且问题呈现出快速增长态势。本文基于对开源软件供应链中的安全风险分析,提出从开源软件安全漏洞检测、软件成分分析、许可证冲突检测、开源生态可持续治理四个方面进行安全治理的方法,指出构建安全软件供应链面临依赖关系复杂、结构脆弱等挑战,对软件成分分析、供应链构建等未来研究方向进行了展望。     

开源密码软件供应链安全综述

本文是首篇对开源密码软件供应链安全问题进行调研、分析和总结的综述文章.首先,通过梳理和分析关于开源软件供应链、加密算法等相关领域文献,探讨了开源软件供应链与开源密码软件供应链的差异,明确了开源密码软件供应链的研究范围;其次,以密码软件供应链典型安全事件作为切入点,构建了开源密码软件供应链风险模型;再次,针对梳理出来的各类安全风险,横向参考了实体供应链风险管理成熟案例以及开源密码软件的风险应对措施,总结了开源密码软件供应链的安全风险防控手段.最后,指出了开源密码软件供应链领域所面临的挑战和机遇,并指出了未来的研究方向.     

程序重构预处理在提高软件模型检测效率中的应用

针对软件模型检测目前很难处理大型程序的问题,提出用程序重构技术对待检的源代码进行预处理,以提高模型检测算法的效率.程序重构将大型程序分解成语义一致的小型过程的集合,由于模型检测算法中过程总结边可单独计算,而且在程序中对某过程的调用可能有多次,这种预处理可以避免状态空间的重复搜索,从而降低模型检测算法在空间和时间上的开销.根据表达程序性质的线性时序逻辑LTL公式的构成,给出了程序重构预处理前后程序语义相等的充分条件;并给定程序和性质公式,用blast作为程序模型检测实验工具,比较程序重构预处理前后blast的运行结果.理论分析和部分程序上的实验表明：程序重构预处理能降低大型程序的模型检测开销,并满足软件模型检测的安全性要求.     

智能汽车行业软件供应链安全风险与治理

汽车产业的智能化、网联化、自动化、共享化程度不断提高,面临的软件供应链安全风险也越发严重。本文首先对智能汽车软件以及软件供应链进行梳理说明,并分析了近年来智能汽车行业部分典型软件供应链安全事件,其次分析了识别智能汽车行业软件供应链风险,最后提出适用于智能汽车软件供应链供需双方的安全治理策略和软件安全检测技术。     

开源软件供应链研究综述

开源软件已经成为现代社会的一项关键基础设施,支撑着几乎所有领域的软件开发.通过安装依赖、API调用、项目fork、文件拷贝和代码克隆等形式的代码复用,开源软件之间形成了错综复杂的供应(依赖)关系网络,被称为开源软件供应链.一方面,开源软件供应链为软件开发提供了便利,已然成为软件行业的基石.另一方面,上游软件的风险可以沿着开源软件供应链波及众多的下游软件,使开源软件供应链呈现牵一发而动全身的特点.开源软件供应链近年来逐渐成为学术界和工业界的关注焦点.为了帮助增进研究人员对开源软件供应链的认识,从整体性的角度,对开源软件供应链给出定义和研究框架;然后,对国内外的研究工作进行系统文献调研,总结结构与演化、风险传播与管理、依赖管理3个方面的研究现状;最后,展望开源软件供应链的研究挑战和未来研究方向.     

软件抄袭检测研究综述

随着开源软件项目的蓬勃发展,软件抄袭俨然已成为软件生态环境健康发展的威胁之一,其得到越来越多的研究人员、教育人员、开源社区及软件企业的关注,软件抄袭检测对于软件知识产权保护具有重要意义。本文对软件抄袭检测的研究现状和进展进行综述。首先介绍软件抄袭检测的意义和威胁模型;然后,根据应用场景和技术手段,从源代码抄袭检测、无源码场景下基于软件水印和基于软件胎记的抄袭检测三个方面,对现有软件抄袭检测技术进行阐述和比较;最后,通过分析软件抄袭检测研究存在的问题及其面临的挑战和实际需求,对未来研究方向进行了展望。     

软件项目与典型程序在程序设计类课程中的应用研究

许多高校的计算机和某些非计算机专业都开设了程序设计类课程,这类课程知识繁杂、抽象。传统的教学模式,学生会感觉枯燥难学,积极性不高。多年来,笔者对软件项目与典型程序在此类课程中的应用进行了研究,效果良好。     

从软件安全开发生命周期实践的角度保障软件供应链安全

软件供应链安全覆盖软件的开发生命周期和生存周期,且与软件开发过程中的人员、工具、环境等因素密切相关,因而通过不同途径和不同方式能使得软件系统自带安全缺陷,并最终被恶意人员利用形成网络安全事件。文章基于行业主流的软件安全开发生命周期(S-SDLC)流程方法,从软件开发单位自身的安全开发管理、安全开发技术、供应商管理等方面,提出了软件开发过程中保障软件供应链安全的体系化方法,为软件开发过程中尽可能地避免和消除软件安全缺陷、保障软件供应链安全奠定重要基础。     

基于博弈的企业供应链管理模型与仿真

设计并实现了一种企业供应链管理模型。描述了模型的设计，详细介绍了模型的实现算法，并对模型进行了仿真分析。仿真结果表明：本模型能够在企业外部需求不断变化的条件下，简便地解决其最优策略的确定问题，即此时企业可以获得最大赢利，同时也可使整个供应链达到全局最优。     

物流服务供应链可靠性诊断的FTA模型及应用

针对物流服务供应链（LSSC）可靠性问题,提出一种基于故障树分析（FTA）模型的LSSC可靠性诊断方法。以物流集成商、物流分包商、制造商构成的三级物流服务供应链为研究对象,建立LSSC可靠性诊断的一般模型;结合实例,构造了LSSC可靠性诊断的FTA模型,通过对FTA模型的最小割集和重要度的求解,得出了LSSC系统失效的故障模式和关键故障因素。     

一个带收集点的逆向物流模型设计

从绿色供应链管理（GSCM）的思想出发,提出了一个分布式逆向物流的数学规划模型,主要研究逆向物流网络中带有收集点的物流成本优化问题,同时为了简化模型,给出了解决这个问题的启发式算法。该方法通过启发式的集中过程,可以减少子问题的决策变量集以及迭代次数而达到最优,并对容量受限的选址运输问题（CPLP）进行了改进。测试结果表明,该方法可以通过适中的计算工作量而得到较高质量的结果。     

UEFI固件的启发式逆向分析与模糊测试方法

统一可扩展固件接口(Unified Extensible Firmware Interface,简称UEFI),作为新一代固件接口标准,广泛应用于现代计算机系统,但其漏洞可能引发严重安全威胁.为了减少UEFI漏洞引发的安全问题,需要进行漏洞检测.而第三方安全测试场景下的模糊测试是检测的主要手段.但符号信息的缺失影响了测试效率.本文提出了一种启发式的UEFI逆向分析方法,恢复固件中的符号信息,改进模糊测试并实现了原型系统ReUEFuzzer.通过对来自4个厂商的525个EFI文件进行测试,证明了逆向分析方法的有效性.ReUEFuzzer可以提升函数测试覆盖率,并在测试过程中发现了一个零日漏洞,已报告给国家信息安全漏洞共享平台以及公共漏洞和暴露系统. 实验证明,本文方法在UEFI漏洞检测方面具有有效性,可以为UEFI安全提供一定的保障.     

基于AHP的供应链物流客户价值评估模型研究

通过分析现代供应链物流客户价值评估管理的特点,提出了利用层次分析法（AHP）来评估供应链物流的客户价值,研究了相应的客户价值评估模型。结合AHP多目标决策分析感性与理性两方面评估的特点研究了供应链物流客户价值的评估过程,并建立了评估系统的应用框架。最后,结合某光电行业供应链物流管理信息平台数据库对基于AHP的评估模型进行了实证。     

软件网络通信过程逆向分析及可视化技术研究

针对软件逆向分析中遇到的软件网络通信过程复杂,分析耗时的问题,提出了软件网络通信过程逆向分析及可视化方法.利用动态二进制平台DynamoRIO记录软件网络通信过程中执行的API函数信息,对记录结果进行函数关联性分析,结合图形化工具软件aiSee,将软件网络通信过程以图形化形式展现.实验结果表明,该方法能够在不影响程序的情况下通过程序的一次运行即正确解析并可视化其网络通信过程.     

敏捷供应链静态调度模型及其贪婪算法

针对确定性市场需求下的敏捷供应链(ASC)调度具有批量和时间双重约束的问题,根据供应层级关系建立多级供应链结构模型(SCSM),在此基础上设计调度问题的线性规划(LP)模型及其两阶段求解算法：第一阶段的最短响应时间调度贪婪算法判定供应链系统对需求批量和时间约束满足与否;第二阶段的精益调度贪婪算法求解以最小化供应链库存成本为目标的最优调度方案。最后通过算例验证了模型和算法的实用性和有效性。     

MASCF: A generic process-centered methodological framework for analysis and design of multi-agent supply chain systems

Multi-agent systems (MAS) are becoming popular for modeling complex systems such as supply chains. However, development of multi-agent systems remain quite involved and extremely time consuming. Currently, there exist no generic methodologies for modeling supply chains using multi-agent systems. In this research, we propose a generic process-centered methodological framework, Multi-Agent Supply Chain Framework (MASCF), to simplify MAS development for supply chain (SC) applications. MASCF introduces the notion of process-centered organization metaphor, and creatively adopts Supply Chain Operations Reference (SCOR) model to a well-structured generic MAS analysis and design methodology, Gaia, for multi-agent supply chain system (MASCS) development. The popular Tamagotchi case was designed and analyzed using MASCF. The validity of the framework was established by implementing MASCF output of Tamagotchi SC using the Java Agent DEvelopment Framework (JADE).     

基于多分辨分析的小波光顺实现

在相关小波光顺算法研究的基础上,利用C++语言和数值分析类库,设计了一款小波分析软件,实现了对具有任意控制顶点曲线的小波光顺。本软件主要包括"输入输出""二进小波光顺""任意分辨率小波光顺""参数设置"等四个模块,并可根据曲线控制顶点数自动判断其小波尺度,并选择最适合的计算模块。本软件在曲线光顺的效率和适应性方面达到了较好的平衡。最后用绘图功能实现了光顺曲线和细节曲线的绘制。     

石化企业内部供应链业务流程分析及建模仿真

石化企业是典型的流程型企业,是石化供应链的核心企业,其内部业务流程管理对整个石化供应链运作性能具有决定性作用。以某石化公司为研究对象,分析其内部供应链原有业务流程,建立相应的概念模型;为了优化原有企业内部供应链业务流程,引入SCOR建模框架;采用AnyLogic仿真平台,分别建立采用SCOR框架前后企业内部供应链的仿真模型。仿真分析表明,采用SCOR框架改进业务流程,可以有效改善企业内部供应链性能。