期刊文献+
任意字段
题名或关键词
题名
关键词
文摘
作者
第一作者
机构
刊名
分类号
参考文献
作者简介
基金资助
栏目信息
共找到9篇文章
< 1 >
每页显示 20 50 100
已选择0
导出题录 引用分析
参考文献
引证文献
 统计分析
检索结果
已选文献
显示方式:
开源软件供应链漏洞威胁智能感知 被引量:1
1
作者 王丽敏 吴敬征 +4 位作者 武延军 芮志清 罗天悦 屈晟 杨牧天 《软件学报》 北大核心 2025年第2期511-536,共26页
开源软件的繁荣推动了软件领域的蓬勃发展,也促使以开源软件为基础的供应链开发模式的形成.开源软件供应链本质上是个复杂的供应链拓扑网络,由开源生态的关键元素及其关联关系构成,其产品全球化等优势有助于提高软件行业的开发效率.然而... 开源软件的繁荣推动了软件领域的蓬勃发展,也促使以开源软件为基础的供应链开发模式的形成.开源软件供应链本质上是个复杂的供应链拓扑网络,由开源生态的关键元素及其关联关系构成,其产品全球化等优势有助于提高软件行业的开发效率.然而,开源软件供应链也存在依赖关系复杂、传播范围广泛、攻击面暴露扩大等特点,带来了新的安全风险.现有的以安全漏洞、威胁情报为基础的安全管理虽然可以实现安全预警、预先防御,但是由于漏洞威胁信息获取不及时、缺少攻击技术和缓解措施等信息,严重影响了漏洞处理效率.针对上述问题,设计并实现一种针对开源软件供应链的漏洞威胁智能感知方法,包括两部分:1)构建CTI(网络威胁情报)知识图谱,在其构建的过程中使用到相关技术,可以实现安全情报的实时分析与处理,尤其提出SecERNIE模型以及软件包命名矩阵,分别缓解漏洞威胁关联挖掘的问题和开源软件别名的问题.2)漏洞风险信息推送,以软件包命名矩阵为基础,构建软件包过滤规则,实现开源系统漏洞实时过滤与推送.通过实验验证所提方法的有效性和可用性.实验结果显示,相较于NVD等传统漏洞平台,本方法平均感知时间最高提前90.03天;在操作系统软件覆盖率上提升74.37%,并利用SecERNIE模型实现63492个CVE漏洞与攻击技术实体之间的关联关系映射.特别地,针对openEuler操作系统,可追踪的系统软件覆盖率达到92.76%,并累计感知6239个安全漏洞;同时,还发现openEuler中891条漏洞与攻击的关联关系,进而获取到相应的解决方案,为漏洞处理提供了参考依据.在真实攻击环境验证2种典型的攻击场景,证明所提方法在漏洞威胁感知方面的良好的效果. 展开更多
关键词 开源软件供应链 漏洞威胁感知 特征表示 知识图谱 风险推送
在线阅读 下载PDF
开源软件供应链研究综述 被引量:9
2
作者 高恺 何昊 +1 位作者 谢冰 周明辉 《软件学报》 EI CSCD 北大核心 2024年第2期581-603,共23页
开源软件已经成为现代社会的一项关键基础设施,支撑着几乎所有领域的软件开发.通过安装依赖、API调用、项目fork、文件拷贝和代码克隆等形式的代码复用,开源软件之间形成了错综复杂的供应(依赖)关系网络,被称为开源软件供应链.一方面,... 开源软件已经成为现代社会的一项关键基础设施,支撑着几乎所有领域的软件开发.通过安装依赖、API调用、项目fork、文件拷贝和代码克隆等形式的代码复用,开源软件之间形成了错综复杂的供应(依赖)关系网络,被称为开源软件供应链.一方面,开源软件供应链为软件开发提供了便利,已然成为软件行业的基石.另一方面,上游软件的风险可以沿着开源软件供应链波及众多的下游软件,使开源软件供应链呈现牵一发而动全身的特点.开源软件供应链近年来逐渐成为学术界和工业界的关注焦点.为了帮助增进研究人员对开源软件供应链的认识,从整体性的角度,对开源软件供应链给出定义和研究框架;然后,对国内外的研究工作进行系统文献调研,总结结构与演化、风险传播与管理、依赖管理3个方面的研究现状;最后,展望开源软件供应链的研究挑战和未来研究方向. 展开更多
关键词 开源软件供应链 结构与演化 风险传播与管理 依赖管理
在线阅读 下载PDF
开源软件供应链安全风险分析研究 被引量:3
3
作者 王江 姜伟 张璨 《信息安全研究》 CSCD 北大核心 2024年第9期862-869,共8页
开源软件已经成为支撑数字社会正常运转的最基本元素之一,渗透到各个行业和领域.随着开源软件供应链越发复杂多元,开源软件供应链安全攻击事件造成的危害也越发严重.梳理了开源软件供应链生态发展现状和世界主要国家开源软件供应链安全... 开源软件已经成为支撑数字社会正常运转的最基本元素之一,渗透到各个行业和领域.随着开源软件供应链越发复杂多元,开源软件供应链安全攻击事件造成的危害也越发严重.梳理了开源软件供应链生态发展现状和世界主要国家开源软件供应链安全战略布局,从开源软件开发安全、使用安全和运营安全维度,提出了开源软件供应链安全风险分析体系,给出当前开源软件供应链面临的主要安全风险,构建了开源软件供应链安全保障模型,并从供应链环节、相关主体和保障措施3个维度提出我国开源软件供应链安全与发展对策建议. 展开更多
关键词 网络安全 软件安全 开源软件 软件供应 开源软件供应链安全
在线阅读 下载PDF
开源软件供应链安全研究综述 被引量:28
4
作者 纪守领 王琴应 +7 位作者 陈安莹 赵彬彬 叶童 张旭鸿 吴敬征 李昀 尹建伟 武延军 《软件学报》 EI CSCD 北大核心 2023年第3期1330-1364,共35页
随着近年来开源软件的蓬勃发展,现代化软件的开发和供应模式极大地促进了开源软件自身的快速迭代和演进,也提高了社会效益.新兴的开源协作的软件开发模式,使得软件开发供应流程由较为单一的线条转变为复杂的网络形态.在盘根错节的开源... 随着近年来开源软件的蓬勃发展,现代化软件的开发和供应模式极大地促进了开源软件自身的快速迭代和演进,也提高了社会效益.新兴的开源协作的软件开发模式,使得软件开发供应流程由较为单一的线条转变为复杂的网络形态.在盘根错节的开源软件供应关系中,总体安全风险趋势显著上升,日益受到学术界和产业界的重视.针对开源软件供应链,厘清了其关键环节,基于近10年的攻击事件,归纳了开源软件供应链的威胁模型和安全趋势,并通过对现有安全研究成果的调研分析,从风险识别和加固防御这两个方面总结了开源软件供应链安全的研究现状,最后对开源软件供应链安全所面临的挑战和未来研究方向进行了展望和总结. 展开更多
关键词 开源软件供应链 风险识别 风险管理 安全加固
在线阅读 下载PDF
数据驱动的开源软件供应链可维护性风险分析方法 被引量:4
5
作者 孙晴 梁冠宇 +3 位作者 武延军 武斌 田春岐 王伟 《华东师范大学学报(自然科学版)》 CAS CSCD 北大核心 2022年第5期90-99,共10页
软件供应链的使用始终穿插在软件系统研发过程当中,近年来关于软件供应链的安全事件频发,软件供应链安全已然成为了一个全球性问题.软件可维护性作为软件质量的重要属性之一,反映了软件维护活动的难易程度.软件供应链的开源趋势逐渐流行... 软件供应链的使用始终穿插在软件系统研发过程当中,近年来关于软件供应链的安全事件频发,软件供应链安全已然成为了一个全球性问题.软件可维护性作为软件质量的重要属性之一,反映了软件维护活动的难易程度.软件供应链的开源趋势逐渐流行,但对开源软件供应链的可维护性研究还处于起步阶段.基于以上考虑,本文结合传统软件维护性风险研究方法,探究了开源软件维护性风险特有的分析视角,并提出了一个开源软件供应链维护性质量模型.该模型通过16种度量指标分别对团队健康、软件活跃度、依赖影响力、测试完整度、外部依赖度和可理解性等9种软件属性类进行度量以反映开源软件供应链的可维护性.同时基于GitHub托管平台和npm (Node.js标准的软件包管理器)子生态数据(包括软件信息、依赖关系、各个软件在开发过程中产生的行为数据等),对同一时间内不同软件的可维护性指标进行对比计算,验证了本文所提出方法的合理性.因此,使用本文所提出的可维护性质量模型可以有效地对开源软件供应链进行可维护性评估,帮助和指导软件的设计与重构,进而开发出更高质量的软件系统. 展开更多
关键词 开源软件供应链 风险评估 可维护性 评估模型
在线阅读 下载PDF
开源软件组件漏洞检测与自动修复技术研究综述
6
作者 张旭明 史涯晴 +3 位作者 黄松 王兴亚 胡津昌 陆江涛 《计算机科学》 北大核心 2025年第6期1-20,共20页
不可阻挡的软件组件化趋势与多人协同作业模式的开发过程促使开源软件供应链逐渐形成,在蓬勃发展的开源软件带来巨大便利的同时,开源漏洞随着供应链悄然而至,威胁着软件系统的安全性和可靠性。软件成分分析可对维护脆弱的开源软件供应... 不可阻挡的软件组件化趋势与多人协同作业模式的开发过程促使开源软件供应链逐渐形成,在蓬勃发展的开源软件带来巨大便利的同时,开源漏洞随着供应链悄然而至,威胁着软件系统的安全性和可靠性。软件成分分析可对维护脆弱的开源软件供应链的安全起到实质性的支撑作用,它通过开源软件组件漏洞检测与自动修复两个核心功能发现并修复软件项目中潜在的漏洞和风险。为加深相关研究人员对软件成分分析在安全漏洞方面的实践的了解,文中梳理归纳了近年的开源软件组件漏洞检测与自动修复技术的研究进展与成果;进一步地,从用户视角出发,基于8个分析维度对目前常见的8种软件成分分析工具进行了总结与探析;最后,探讨了开源软件组件漏洞检测与自动修复技术现存的挑战并展望了未来可能的发展方向。 展开更多
关键词 开源软件供应链 软件成分分析 组件漏洞检测 自动修复
在线阅读 下载PDF
开源软件库生态治理技术研究综述:二十年进展 被引量:2
7
作者 王莹 伍盈欣 +4 位作者 高天 陈子莺 许畅 于海 张成志 《软件学报》 EI CSCD 北大核心 2024年第2期629-674,共46页
在“人-机-物”三元融合、泛在计算的时代蓝海下,“开放多变”“需求多样”和“场景复杂”的软件部署和运行环境对开源软件库生态的治理技术提出了更多需求和更高期望.为进一步推动构建可信软件供应链生态,围绕泛在计算模式、打造自主... 在“人-机-物”三元融合、泛在计算的时代蓝海下,“开放多变”“需求多样”和“场景复杂”的软件部署和运行环境对开源软件库生态的治理技术提出了更多需求和更高期望.为进一步推动构建可信软件供应链生态,围绕泛在计算模式、打造自主可控的技术体系,聚焦于开源软件库管理生态,收集近20多年来(2001–2023)发表于软件工程领域较高影响力的学术期刊和会议的348篇论文,对开源软件库生态治理技术的研究工作进行梳理.讨论开源软件库生态的建模与分析、演化与维护、质量保证和管理等方面的工作,总结研究现状、问题、挑战与趋势. 展开更多
关键词 开源软件供应链 开源治理 软件库生态系统
在线阅读 下载PDF
开源密码软件供应链安全综述 被引量:1
8
作者 荣景峰 刘新荣 +5 位作者 贾培养 葛平原 陈颖 司喜绢 孙承一 张玉清 《密码学报》 CSCD 2023年第5期966-985,共20页
本文是首篇对开源密码软件供应链安全问题进行调研、分析和总结的综述文章.首先,通过梳理和分析关于开源软件供应链、加密算法等相关领域文献,探讨了开源软件供应链与开源密码软件供应链的差异,明确了开源密码软件供应链的研究范围;其次... 本文是首篇对开源密码软件供应链安全问题进行调研、分析和总结的综述文章.首先,通过梳理和分析关于开源软件供应链、加密算法等相关领域文献,探讨了开源软件供应链与开源密码软件供应链的差异,明确了开源密码软件供应链的研究范围;其次,以密码软件供应链典型安全事件作为切入点,构建了开源密码软件供应链风险模型;再次,针对梳理出来的各类安全风险,横向参考了实体供应链风险管理成熟案例以及开源密码软件的风险应对措施,总结了开源密码软件供应链的安全风险防控手段.最后,指出了开源密码软件供应链领域所面临的挑战和机遇,并指出了未来的研究方向. 展开更多
关键词 开源密码软件供应 密码实现 软件供应 开源软件
在线阅读 下载PDF
基于攻防博弈的网络系统动态风险评估模型
9
作者 张红斌 米佳美 +1 位作者 左珺 刘滨 《河北科技大学学报》 北大核心 2025年第3期342-354,共13页
针对现有模型在处理开源软件供应链中复杂依赖关系和潜在威胁路径时过于简化,难以应对大数据时代背景下网络系统中的开源风险问题,提出基于攻防博弈的网络系统动态风险评估模型。首先,整合系统拓扑结构信息、开源组件信息以及漏洞信息... 针对现有模型在处理开源软件供应链中复杂依赖关系和潜在威胁路径时过于简化,难以应对大数据时代背景下网络系统中的开源风险问题,提出基于攻防博弈的网络系统动态风险评估模型。首先,整合系统拓扑结构信息、开源组件信息以及漏洞信息构建开源风险传播知识图谱;其次,基于知识图谱设计威胁路径生成算法以获取威胁路径,并评估其潜在风险,确定最大可能威胁路径;最后,引入随机博弈的思想,建立基于风险博弈的网络系统风险评估模型NSRAM-RG,分析攻防双方针对最大可能威胁路径的博弈行为,动态更新知识图谱,并依据双方效用函数来量化评估网络系统的风险。结果表明,所提模型的评估结果与真实值的拟合程度优于HMM(隐马尔可夫模型)和AHP(层次分析法),能够更准确地反映系统的风险变化。所提模型能够有效地量化评估系统中的开源风险,为开源软件供应链的安全管理提供了新的思路。 展开更多
关键词 计算机网络 开源软件供应链安全 知识图谱 随机博弈 风险评估
在线阅读 下载PDF
已选择0
导出题录 引用分析
参考文献
引证文献
 统计分析
检索结果
已选文献
上一页 1 下一页 到第
关于我们 | 版权声明 | 联系我们 | 帮助中心| 意见反馈
主办单位:上海市教育委员会
技术支持:重庆维普资讯有限公司
渝公网安备 50019002500403号
使用帮助 返回顶部