內容大鋼
開源軟體供應鏈是指開源軟體在開發和運行過程中涉及的所有開源軟體的上游社區、源碼包、二進位包、第三方組件分發市場、應用軟體分發市場,以及開發者和維護者、社區、基金會等,按照依賴、組合等形成的供應關係網路。相較于傳統軟體供應鏈,開源軟體供應鏈隨著供應層級不斷加深,其規模不斷擴大,導致針對上游的攻擊將更難被發現、影響範圍更廣。本書從開源軟體供應鏈的定義開始,逐步講解開源供應鏈模型、開源供應鏈評估體系、關鍵節點識別與維護等開源軟體供應鏈的關鍵內容。
本書可以作為開源軟體供應鏈領域的研究人員或者工程技術人員的參考用書,也可以作為開源愛好者的入門書籍。
作者介紹
編者:武延軍//梁冠宇//吳敬征//屈晟//趙琛|責編:韓飛//梁偉
目錄
前言
第1章 什麼是開源軟體供應鏈
1.1 關注開源軟體供應鏈的原因
1.2 開源軟體供應鏈的基礎知識
1.2.1 開源軟體供應鏈的定義
1.2.2 開源軟體供應鏈的特徵
1.2.3 開源軟體供應鏈面臨的風險
1.2.4 開源軟體供應鏈的法律政策
1.3 本書的組織框架
1.4 本章小結
第2章 開源軟體供應鏈的國際形勢
2.1 具有影響力的開放組織
2.1.1 OpenSSF
2.1.2 OWASP
2.1.3 SPDX
2.1.4 OpenChain
2.1.5 Openwall
2.1.6 中國電腦學會開源發展委員會
2.1.7 開放原子基金會開源安全委員會
2.2 關注開源軟體供應鏈安全的企業
2.2.1 Sonatype
2.2.2 Synopsys
2.2.3 科技巨頭
2.3 各國對開源軟體供應鏈安全的態度
2.3.1 國外
2.3.2 國內
2.4 本章小結
第3章 開源軟體供應鏈的研究基礎
3.1 供應鏈的相關研究
3.1.1 供應鏈定義及管理研究概述
3.1.2 供應鏈網路研究概述
3.2 軟體供應鏈的相關研究
3.2.1 傳統軟體供應鏈研究概述
3.2.2 開源軟體供應鏈研究概述
3.2.3 供應鏈中關鍵軟體識別研究概述
3.3 軟體供應鏈建模的相關研究
3.3.1 軟體倉庫挖掘研究概述
3.3.2 軟體工程領域的知識圖譜研究概述
3.4 本章小結
第4章 開源軟體供應鏈模型
4.1 面向主要環節的供應鏈模型
4.2 開源軟體供應鏈的形式化模型
4.2.1 自動機構建
4.2.2 自動機驗證
4.3 開源軟體供應鏈的知識化模型
4.3.1 本體設計
4.3.2 知識抽取
4.3.3 知識融合
4.3.4 知識更新
4.4 工業界常用的供應鏈模型——軟體物料清單
4.4.1 背景
4.4.2 技術組成
4.4.3 已有的產品及分類
4.4.4 技術應用現狀
4.4.5 挑戰
4.5 本章小結
第5章 開源軟體供應鏈的風險評估體系
5.1 面向供應鏈主要環節的風險防控體系
5.1.1 風險模型
5.1.2 開源軟體供應鏈中第三方組件的風險識別
5.1.3 開源軟體供應鏈視角下的應用軟體風險識別
5.1.4 協作開發的風險識別
5.1.5 下載更新過程的風險識別
5.1.6 風險應對策略
5.2 基於知識化模型的風險防控體系
5.2.1 風險模型
5.2.2 面向安全性風險的管控方法
5.2.3 面向合規性風險的管控方法
5.2.4 面向維護性風險的管控方法
5.2.5 風險應對策略
5.3 本章小結
第6章 開源軟體供應鏈的關鍵節點識別與維護
6.1 開源軟體供應鏈的關鍵節點
6.2 關鍵節點識別方法
6.2.1 Criticality score
6.2.2 Gitee指數
6.2.3 CriticalityRank
6.3 本章小結
第7章 供應鏈軟體評估和篩選
7.1 供應鏈軟體
7.2 供應鏈軟體評估需要解決的問題
7.3 供應鏈軟體評估指標體系
7.3.1 評估屬性定義
7.3.2 評估屬性度量
7.4 供應鏈軟體評估方案
7.4.1 指標權重設計
7.4.2 評估結果計算
7.5 供應鏈軟體評估模型評價
7.6 面臨的問題與挑戰
7.6.1 研究難點與挑戰
7.6.2 未來研究方向
7.7 本章小結
第8章 開源軟體供應鏈基礎設施的建設
8.1 需求分析
8.1.1 開源軟體供應鏈基礎設施的功能性需求
8.1.2 開源軟體供應鏈基礎設施的非功能性需求
8.1.3 開源軟體供應鏈基礎設施的目標用戶
8.2 基礎設施設計
8.2.1 總體設計
8.2.2 數據基礎設施
8.2.3 一體化服務基礎設施
8.3 本章小結
第9章 開源軟體供應鏈的呈現與應用
9.1 &n
[