期刊导航
期刊开放获取
上海教育软件发展有限公..
期刊文献
+
任意字段
题名或关键词
题名
关键词
文摘
作者
第一作者
机构
刊名
分类号
参考文献
作者简介
基金资助
栏目信息
任意字段
题名或关键词
题名
关键词
文摘
作者
第一作者
机构
刊名
分类号
参考文献
作者简介
基金资助
栏目信息
检索
高级检索
期刊导航
共找到
1
篇文章
<
1
>
每页显示
20
50
100
已选择
0
条
导出题录
引用分析
参考文献
引证文献
统计分析
检索结果
已选文献
显示方式:
文摘
详细
列表
相关度排序
被引量排序
时效性排序
开源软件供应链漏洞威胁智能感知
被引量:
1
1
作者
王丽敏
吴敬征
+4 位作者
武延军
芮志清
罗天悦
屈晟
杨牧天
《软件学报》
北大核心
2025年第2期511-536,共26页
开源软件的繁荣推动了软件领域的蓬勃发展,也促使以开源软件为基础的供应链开发模式的形成.开源软件供应链本质上是个复杂的供应链拓扑网络,由开源生态的关键元素及其关联关系构成,其产品全球化等优势有助于提高软件行业的开发效率.然而...
开源软件的繁荣推动了软件领域的蓬勃发展,也促使以开源软件为基础的供应链开发模式的形成.开源软件供应链本质上是个复杂的供应链拓扑网络,由开源生态的关键元素及其关联关系构成,其产品全球化等优势有助于提高软件行业的开发效率.然而,开源软件供应链也存在依赖关系复杂、传播范围广泛、攻击面暴露扩大等特点,带来了新的安全风险.现有的以安全漏洞、威胁情报为基础的安全管理虽然可以实现安全预警、预先防御,但是由于漏洞威胁信息获取不及时、缺少攻击技术和缓解措施等信息,严重影响了漏洞处理效率.针对上述问题,设计并实现一种针对开源软件供应链的漏洞威胁智能感知方法,包括两部分:1)构建CTI(网络威胁情报)知识图谱,在其构建的过程中使用到相关技术,可以实现安全情报的实时分析与处理,尤其提出SecERNIE模型以及软件包命名矩阵,分别缓解漏洞威胁关联挖掘的问题和开源软件别名的问题.2)漏洞风险信息推送,以软件包命名矩阵为基础,构建软件包过滤规则,实现开源系统漏洞实时过滤与推送.通过实验验证所提方法的有效性和可用性.实验结果显示,相较于NVD等传统漏洞平台,本方法平均感知时间最高提前90.03天;在操作系统软件覆盖率上提升74.37%,并利用SecERNIE模型实现63492个CVE漏洞与攻击技术实体之间的关联关系映射.特别地,针对openEuler操作系统,可追踪的系统软件覆盖率达到92.76%,并累计感知6239个安全漏洞;同时,还发现openEuler中891条漏洞与攻击的关联关系,进而获取到相应的解决方案,为漏洞处理提供了参考依据.在真实攻击环境验证2种典型的攻击场景,证明所提方法在漏洞威胁感知方面的良好的效果.
展开更多
关键词
开源软件供应链
漏洞威胁感知
特征表示
知识图谱
风险推送
在线阅读
下载PDF
职称材料
题名
开源软件供应链漏洞威胁智能感知
被引量:
1
1
作者
王丽敏
吴敬征
武延军
芮志清
罗天悦
屈晟
杨牧天
机构
中国科学院软件研究所智能软件研究中心
计算机科学国家重点实验室(中国科学院软件研究所)
中国科学院大学
出处
《软件学报》
北大核心
2025年第2期511-536,共26页
基金
中国科学院战略性先导科技专项(XDA0320401)
国家自然科学基金青年项目(62202457)。
文摘
开源软件的繁荣推动了软件领域的蓬勃发展,也促使以开源软件为基础的供应链开发模式的形成.开源软件供应链本质上是个复杂的供应链拓扑网络,由开源生态的关键元素及其关联关系构成,其产品全球化等优势有助于提高软件行业的开发效率.然而,开源软件供应链也存在依赖关系复杂、传播范围广泛、攻击面暴露扩大等特点,带来了新的安全风险.现有的以安全漏洞、威胁情报为基础的安全管理虽然可以实现安全预警、预先防御,但是由于漏洞威胁信息获取不及时、缺少攻击技术和缓解措施等信息,严重影响了漏洞处理效率.针对上述问题,设计并实现一种针对开源软件供应链的漏洞威胁智能感知方法,包括两部分:1)构建CTI(网络威胁情报)知识图谱,在其构建的过程中使用到相关技术,可以实现安全情报的实时分析与处理,尤其提出SecERNIE模型以及软件包命名矩阵,分别缓解漏洞威胁关联挖掘的问题和开源软件别名的问题.2)漏洞风险信息推送,以软件包命名矩阵为基础,构建软件包过滤规则,实现开源系统漏洞实时过滤与推送.通过实验验证所提方法的有效性和可用性.实验结果显示,相较于NVD等传统漏洞平台,本方法平均感知时间最高提前90.03天;在操作系统软件覆盖率上提升74.37%,并利用SecERNIE模型实现63492个CVE漏洞与攻击技术实体之间的关联关系映射.特别地,针对openEuler操作系统,可追踪的系统软件覆盖率达到92.76%,并累计感知6239个安全漏洞;同时,还发现openEuler中891条漏洞与攻击的关联关系,进而获取到相应的解决方案,为漏洞处理提供了参考依据.在真实攻击环境验证2种典型的攻击场景,证明所提方法在漏洞威胁感知方面的良好的效果.
关键词
开源软件供应链
漏洞威胁感知
特征表示
知识图谱
风险推送
Keywords
open-source software supply chain
vulnerability threat perception
feature representation
knowledge graph
risk push
分类号
TP311 [自动化与计算机技术—计算机软件与理论]
在线阅读
下载PDF
职称材料
题名
作者
出处
发文年
被引量
操作
1
开源软件供应链漏洞威胁智能感知
王丽敏
吴敬征
武延军
芮志清
罗天悦
屈晟
杨牧天
《软件学报》
北大核心
2025
1
在线阅读
下载PDF
职称材料
已选择
0
条
导出题录
引用分析
参考文献
引证文献
统计分析
检索结果
已选文献
上一页
1
下一页
到第
页
确定
用户登录
登录
IP登录
使用帮助
返回顶部
