开源软件供应链安全问题研究

当前,开源已经成为软件开发的重要模式之一。由于开源开发模式具有代码来源多样、依赖关系复杂等特点,使得开源软件面临代码漏洞风险、供应链攻击风险、知识产权风险、可持续维护风险等供应链安全问题,且问题呈现出快速增长态势。本文基于对开源软件供应链中的安全风险分析,提出从开源软件安全漏洞检测、软件成分分析、许可证冲突检测、开源生态可持续治理四个方面进行安全治理的方法,指出构建安全软件供应链面临依赖关系复杂、结构脆弱等挑战,对软件成分分析、供应链构建等未来研究方向进行了展望。     

当前国际环境下的网络安全漏洞披露教育探讨

网络安全漏洞一直是网络安全的核心之一,而近年来中美贸易争端、新冠疫情、俄乌战争等诱发了世界秩序的变化,阿里Log4j漏洞事件也暴露出国内安全界对漏洞披露的认识和重视程度不足。文章就如何根据新规定在新形势下指导学生进行网络安全漏洞披露的探讨,提出将指导融入到相关的课程中,并给出具体的漏洞披露建议。     

软件供应链安全综述

随着信息技术产业的发展和软件开发需求的扩展,软件开发的难度与复杂度不断上升,针对软件供应链的重大安全事件时有发生。这些事件展现了软件供应链攻击低成本而高效的特点以及软件供应链管理的复杂性,使得软件供应链的安全问题受到了广泛的关注,相关领域的研究工作也进入了起步阶段。本文从软件供应链安全的定义以及发展历程入手,介绍了软件供应链安全问题的相关背景,并通过对现有研究成果的调研分析,将软件供应链安全问题分为管理问题和技术问题两个方面,从这两个方面入手介绍了软件供应链安全的研究现状,然后结合研究现状总结了软件供应链安全所面临的现实挑战,并提出了未来可能的研究方向。     

开源软件供应链研究综述

开源软件已经成为现代社会的一项关键基础设施,支撑着几乎所有领域的软件开发.通过安装依赖、API调用、项目fork、文件拷贝和代码克隆等形式的代码复用,开源软件之间形成了错综复杂的供应(依赖)关系网络,被称为开源软件供应链.一方面,开源软件供应链为软件开发提供了便利,已然成为软件行业的基石.另一方面,上游软件的风险可以沿着开源软件供应链波及众多的下游软件,使开源软件供应链呈现牵一发而动全身的特点.开源软件供应链近年来逐渐成为学术界和工业界的关注焦点.为了帮助增进研究人员对开源软件供应链的认识,从整体性的角度,对开源软件供应链给出定义和研究框架;然后,对国内外的研究工作进行系统文献调研,总结结构与演化、风险传播与管理、依赖管理3个方面的研究现状;最后,展望开源软件供应链的研究挑战和未来研究方向.     

开源密码软件供应链安全综述

本文是首篇对开源密码软件供应链安全问题进行调研、分析和总结的综述文章.首先,通过梳理和分析关于开源软件供应链、加密算法等相关领域文献,探讨了开源软件供应链与开源密码软件供应链的差异,明确了开源密码软件供应链的研究范围;其次,以密码软件供应链典型安全事件作为切入点,构建了开源密码软件供应链风险模型;再次,针对梳理出来的各类安全风险,横向参考了实体供应链风险管理成熟案例以及开源密码软件的风险应对措施,总结了开源密码软件供应链的安全风险防控手段.最后,指出了开源密码软件供应链领域所面临的挑战和机遇,并指出了未来的研究方向.     

从软件安全开发生命周期实践的角度保障软件供应链安全

软件供应链安全覆盖软件的开发生命周期和生存周期,且与软件开发过程中的人员、工具、环境等因素密切相关,因而通过不同途径和不同方式能使得软件系统自带安全缺陷,并最终被恶意人员利用形成网络安全事件。文章基于行业主流的软件安全开发生命周期(S-SDLC)流程方法,从软件开发单位自身的安全开发管理、安全开发技术、供应商管理等方面,提出了软件开发过程中保障软件供应链安全的体系化方法,为软件开发过程中尽可能地避免和消除软件安全缺陷、保障软件供应链安全奠定重要基础。     

基于Agent面向软件重用的敏捷供应链模型

敏捷性和快速响应性是现代企业成功的关键因素，供应链管理正成为现代企业提高竞争力而采取的有效的先进手段，它要求敏捷化的信息系统支持，满足企业快速构造供应链的需要，因此，如何实现供应链系统的软件重用，就具有非常重要的现实意义，提出了将企业的商务逻辑与具体事务处理分开的思想，建立基于agent的敏捷化供应链管理模型，通过对商务逻辑的规则模型和软件代理的活动行为模型建立，利用ECA规则协调多代理系统的活动，从而有效地支持供应链动态建立，过程重组，增强供应链系统信息分布处理，软件可重用和规模可扩展能力。     

面向操作系统可靠性保障的开源软件供应链

软件可靠性是软件工程领域中的研究热点之一,故障率分析是软件可靠性的典型研究方法.然而,软件构建模式已从单体模式演进到以开源软件为代表的规模化协作模式,操作系统作为代表性产物之一,所含开源软件之间通过组合关系和依赖关系,形成了一个包含上万节点的供应关系网络.典型方法缺乏对供应关系的考量,无法准确识别和评估因此而引入的软件可靠性问题.把供应链概念体系拓展到开源软件领域,提出一种基于知识的面向开源协作模式下软件供应可靠性的管理方法：面向开源软件生态进行本体设计,构建开源软件知识图谱,实现知识的提取、存储和管理,以知识为驱动,结合传统的供应链管理方法,提出一组面向开源软件供应链的可靠性管理方法,构成一套开源软件供应链管理系统.实验以Linux操作系统发行版的构建为例,展示了开源软件供应链对操作系统可靠性的支撑能力.结果表明,开源软件供应链将有助于理清和评估大型复杂系统软件的可靠性风险.     

开源软件供应链安全研究综述

随着近年来开源软件的蓬勃发展,现代化软件的开发和供应模式极大地促进了开源软件自身的快速迭代和演进,也提高了社会效益.新兴的开源协作的软件开发模式,使得软件开发供应流程由较为单一的线条转变为复杂的网络形态.在盘根错节的开源软件供应关系中,总体安全风险趋势显著上升,日益受到学术界和产业界的重视.针对开源软件供应链,厘清了其关键环节,基于近10年的攻击事件,归纳了开源软件供应链的威胁模型和安全趋势,并通过对现有安全研究成果的调研分析,从风险识别和加固防御这两个方面总结了开源软件供应链安全的研究现状,最后对开源软件供应链安全所面临的挑战和未来研究方向进行了展望和总结.     

面向软件供应链的异常分析方法综述

软件在国民经济的各个领域占据越来越重要的地位.万物互联的大背景下,信息之间的交互、分析、协同变得越来越普遍,程序/软件之间的依赖关系逐渐增多,这使得人们对系统可靠性和健壮性提出了更高的要求.由开源组件和第三方组件构成的软件供应链,其所面临的安全问题近年来成为了学术界和工业界共同关注的焦点.库函数作为开源软件的重要组成部分,与软件供应链安全有着密切的联系.为了提高软件开发效率,软件库或应用程序编程接口(API)在程序编写过程中会被频繁使用,但库函数中存在的错误或漏洞可能会被攻击者利用,从而损害软件供应链安全.这些错误或漏洞往往与库函数中存在的异常有关,因此,从精度和效率两方面对适用于库函数的异常分析方法进行总结归纳,对于每种异常分析方法的基本思想和重要过程进行阐述,并针对库函数异常分析面临的挑战给出初步解决思路.对软件供应链中的库函数进行异常分析,有助于增强软件系统的健壮性,进而保障软件供应链的安全.     

Open Source Software Supply Chain for Reliability Assurance of Operating Systems

Software reliability is one of the research hotspots in the field of software engineering, and failure rate analysis is a typical research method for software reliability. However, the software construction mode has evolved from a single mode to a large-scale collaborative model represented by open source software. As one of the representative products, the operating system includes open source software connected through combinations and dependencies to form a supply network of tens of thousands of nodes. Typical methods lack consideration of supply relationships and cannot accurately identify and evaluate the software reliability issues introduced as a result. This paper extends the concept of supply chain to the field of open source software and proposes a knowledge-based management method for software supply reliability in a collaborative model. The ontological body is designed for the open source software ecosystem firstly, and then the nowledge graph of open source software is constructed to achieve the extraction, storage and management of knowledge; driven by knowledge, combined with traditional supply chain management methods, a set of reliability management methods for open source software supply chain is proposed, which constitutes a management system of open source software supply chain. With the construction of a Linux operating system distribution as an example, the experiment demonstrates how the open source software supply chain supports the reliability of the operating system. Results show that the open source software supply chain will help to clarify and evaluate the reliability risk of large complex system software.     

Toward Self-Integrating Software Applications for Supply Chain Management

Each paper in this special issue deals with a particular aspect of supply chain management. Nevertheless, they all point to a common need for meaningful and timely information exchange across the supply chain. The Internet and the existing Web technologies have made the exchange of information essentially free and instantaneous. On the other hand, determining the meaning of that information, which we call integration, is still very costly. Millions of dollars and hundreds of man-years have been spent developing and coding interface specifications and software applications to achieve this integration. While this approach has been successful in the past, it is not a viable approach for the future in which the Semantic Web is becoming an important business strategy. In this paper, we discuss a new approach, called self-integration in which software applications are imbedded in an environment that allows them to integrate automatically. We first provide some background information on integration and then focus on our research on semantic querying, semantic mapping, and semantic inferencing.     

供需链仿真系统功能评价体系分析

针对供需链仿真系统的需求分析与设计问题,在综述国内外供需链仿真系统功能现状的基础上,给出评价系统性能的指标体系,基于该套评价方法对现有主流供需链仿真系统的功能进行评价。提出输入数据的自动提取与建模、将特定的领域知识与随机业务过程相结合的仿真建模技术、针对不同工业自动生成标准报表图形以及仿真实验的自动设计与参数调试功能等,是仿真系统性能改进的重要方向。     

Web-based Supply Chain Management

A key constituent of supply chain management strategies is information sharing. Software component technology facilitates information sharing by providing a means for integrating heterogeneous information systems into virtual information systems. Extranet technology facilitates information sharing between an enterprise and its business partners as well as its customers through the Internet. These two technologies enable new strategies that integrate information systems and improve supply chain networks. We discuss the application of these strategies to supply chain processes.