面向Java语言生态的软件供应链安全分析技术

随着开源软件技术的不断发展,为提高开发效率并降低人力成本,组件化开发模式逐渐得到行业的认可,开发人员可以利用相关工具便捷地使用第三方组件,也可将自己开发的组件贡献给开发社区,从而形成了软件供应链.然而,这种开发模式必然会导致高危漏洞随组件之间的依赖链条扩散到其他组件或项目,从而造成漏洞影响的扩大化,例如2021年底披露的Log4j2漏洞,通过软件供应链对Java生态安全造成了巨大影响.当前针对Java语言软件供应链安全的分析与研究大多是对组件或项目进行抽样调研,这忽略了组件或项目对整个开源生态的影响,无法精准衡量其对生态所产生的影响.为此,本文针对Java语言生态软件供应链安全分析技术展开研究,首次给出了软件供应链安全领域的组件依赖关系和影响力等重要指标的形式化定义,并依据此提出了基于索引文件的增量式组件配置收集和基于POM语义的多核并行依赖解析,设计实现了Java开源生态组件依赖关系提取与解析框架,收集并提取超过880万个组件版本和6500万条依赖关系.在此基础上,本文以受到漏洞影响的日志库Log4j2为例,全面评估其对生态的影响以及修复比例,结果表明该漏洞影响了生态15.12%的组件(71082个)以及16.87%的组件版本(1488971个)同时仅有29.13%的组件在最新版本中进行了修复.     

面向软件供应链的异常分析方法综述

软件在国民经济的各个领域占据越来越重要的地位.万物互联的大背景下,信息之间的交互、分析、协同变得越来越普遍,程序/软件之间的依赖关系逐渐增多,这使得人们对系统可靠性和健壮性提出了更高的要求.由开源组件和第三方组件构成的软件供应链,其所面临的安全问题近年来成为了学术界和工业界共同关注的焦点.库函数作为开源软件的重要组成部分,与软件供应链安全有着密切的联系.为了提高软件开发效率,软件库或应用程序编程接口(API)在程序编写过程中会被频繁使用,但库函数中存在的错误或漏洞可能会被攻击者利用,从而损害软件供应链安全.这些错误或漏洞往往与库函数中存在的异常有关,因此本文对适用于库函数的异常分析方法从精度和效率两方面分别进行总结归纳,对于每种异常分析方法的基本思想和重要过程进行阐述,并针对库函数异常分析面临的挑战给出了初步解决思路.对软件供应链中的库函数进行异常分析有助于增强软件系统的健壮性,进而保障软件供应链的安全.     

开源软件供应链安全研究综述

随着近年来开源软件的蓬勃发展,现代化软件的开发和供应模式极大地促进了开源软件自身的快速迭代和演进,也提高了社会效益.新兴的开源协作的软件开发模式,使得软件开发供应流程由较为单一的线条转变为复杂的网络形态.在盘根错节的开源软件供应关系中,总体安全风险趋势显著上升,日益受到学术界和产业界的重视.针对开源软件供应链,厘清了其关键环节,基于近10年的攻击事件,归纳了开源软件供应链的威胁模型和安全趋势,并通过对现有安全研究成果的调研分析,从风险识别和加固防御这两个方面总结了开源软件供应链安全的研究现状,最后对开源软件供应链安全所面临的挑战和未来研究方向进行了展望和总结.     

Smart experience-oriented customer requirement analysis for smart product service system: A novel hesitant fuzzy linguistic cloud DEMATEL method

Smart product service system (PSS) has become an essential strategy to transform towards digital servitization for manufacturing companies. By leveraging smart capabilities, smart PSS aims to create superior user experience in a smart context. To develop a successful smart PSS, customer requirement management from smart experience perspective is necessary. However, it is a challenging task to identify and evaluate diverse, implicit and interrelated smart experience-oriented customer requirement (SEO-CR) in smart PSS context. Hence, this paper proposes an effective methodology to elicit and analyze SEO-CRs. At first, a generic, two-dimensional SEO-CR system is presented as a basis to derive the tailored SEO-CRs for various smart PSS applications. Second, a novel HFLC-DEMATEL (hesitant fuzzy linguistic cloud-based Decision-making and trial evaluation laboratory) method is proposed to accurately evaluate the priority and complicated interaction of SEO-CRs, considering the hesitancy, fuzziness and randomness under uncertain decision environment. Some new operations (e.g., cloud total-relation matrix and weight determination method) and a cloud influence relation map are developed to fully take advantage of cloud model in DEMATEL implementation. Finally, a real case of smart vehicle service system (SVSS) is presented. The 18 SEO-CRs of the SVSS are derived based on the generalized SEO-CRs. By using HFLC-DEMATEL, some important SEO-CRs in context of SVSS are identified, such as autonomous and convenience. The finding of results can help designers make proper decisions in design and development of SVSS with a superior smart experience. The effectiveness and reliability of the proposed method are validated by conducting some comparative analyses.     

电动汽车用驱动电机测试平台多功能电源系统

电动汽车的驱动电机可以选用直流电机、感应电机和永磁同步电机等,这些电机进行测试时所需的馈电系统不同,无法在同一实验平台上进行试验。为此,开发了一个共直流母线的电动汽车用驱动电机系统测试平台,该测试平台能在不同电源工作模式下对不同电机进行试验。重点研发了适用于电动汽车驱动电机测试的多功能试验电源,该电源采用了交直流共用主回路拓扑结构分时输出,三重化DC/DC的直流调制策略和SVPWM过调制的交流调制策略,使得驱动电机系统测试平台不仅具有较高的能量利用率,还能适用于多种不同类型的驱动电机测试。最后,实验证明了所开发的驱动电机系统测试平台的可行性。     

农用拖拉机的自适应二阶滑模路径跟踪控制

针对农用拖拉机在未知扰动影响下的路径跟踪控制问题,本文提出了基于自适应二阶滑模和扰动观测技术的路径跟踪控制策略.首先,建立含有未知扰动项的路径跟踪偏差模型,通过利用自适应控制和改进的加幂积分技术,构造自适应二阶滑模路径跟踪控制方法,该控制方法削弱了滑模控制中存在的抖振影响.其次,为了解决大扰动下控制增益调整过度的问题,通过将鲁棒精确微分器和自适应二阶滑模控制结合,构造复合的路径跟踪控制方法.严格的Lyapunov分析表明横向偏差和航向偏差均在有限时间内稳定到原点.最后,仿真结果验证了本文设计的制导方法能够保证农用拖拉机快速且稳定地跟踪上任意弯曲的参考路径.     

基于区块链的物联网任务协作信任管理方案

在物联网智能设备任务协作场景中,为解决设备交互不受信以及存在恶意设备破坏协作的问题,提出一种基于区块链的信任管理方案。半分布式的架构克服了集中式和分布式架构的不足,任务协作过程中兼顾了双方的信任,并设计了审查机制确保任务评价的真实可靠。信任的衡量中使用狄利克雷分布模拟任务评价的多样性,构建信任为数个状态,并利用马尔可夫链评估信任状态和全局信任。仿真结果表明,提出的方案可以客观衡量设备的信任,同时在检测恶意设备、提高协作任务成功率及避免误判方面具有优势,因此可以有效确保任务交互的可信和协作环境的安全。     

多应用场景低压配网无缝合环转电解决方案

合环转电作为一种重要的网络重构技术,对提高配电网运行的可靠性与经济性具有重要意义。常规合环转电不仅存在合环冲击,而且合环点的选取受到两侧电源相角差的限制。文章针对广州配电网存在的大角度差不停电转供技术难题,提出两种无缝合环转电解决方案,分别是基于串并联补偿的合环方案和基于背靠背拓扑的合环方案。它们能够适用于多种转供场景,并提供交、直流两种转供电源接口。文章给出了每种方案的接线方式,对它们的结构特点、性能参数以及工作原理进行了分析。为了适应配电网三相不平衡与谐波污染的运行环境,从结构与控制两方面提出了装置的改进措施。最后,仿真验证了几种典型场景下无缝合环转电装置的运行原理,从而为实际开展低压无缝合环转电提供计算支撑。     

考虑响应程度反馈和昼夜充电分布的公交车站双阶段响应模型

大规模电动公交车充电负荷接入电网导致负荷峰值攀升,电网安全性和经济性下降,为此提出了一种考虑响应程度反馈和昼夜充电分布的双阶段充电响应模型。建立了电动公交车双阶段充电负荷模型,基于电动公交车的排班模型确定调控时段,并将各调控时段的充电状态作为控制变量;提出了行程裕度系数的概念,将电动公交车的充电需求分配到夜间和白天,实现双阶段充电;制定了基于响应程度的削峰响应分段激励结算机制,依据响应系数将响应分为欠响应、有效响应、过响应,并通过惩罚系数和饱和系数引导公交车站实现有效响应;在此基础上,建立了电动公交车夜间-日间双阶段充电响应模型,以单位电量净支出作为指标实现公交车站效益最大化;基于粒子群优化算法,通过定义约束偏离程度函数,给出了带约束条件的优化策略。通过仿真验证了所提策略能可靠完成响应任务,电动公交车的单位电量净支出大幅下降,且电网的响应经济负担较固定激励方式更轻。     

基于iDLMP方法的用户侧灵活性资源电能-备用优化运行

充分利用用户侧分布式能源(DER)的灵活性是改善以新能源为主体的新型电力系统灵活性不足的有效途径之一。搭建含有高比例DER的电力系统市场化运行框架;基于通用虚拟电池模型,建立含有分布式储能系统、电动汽车与光伏的聚合商优化运行模型,进一步考虑配电网安全运行约束,建立配电系统运营商优化运行模型,基于此,提出协调优化聚合商能量计划与备用容量计划的迭代型配电网节点边际价格方法。算例结果表明,所提模型和方法可以在考虑用户设备资源信息安全的前提下有效解决DER因电力市场能量价格与备用容量价格过高或过低引起的线路双向过载问题。