開源軟件供應鏈

定　價：￥69.00

作　者：	武延軍等
出版社：	機械工業(yè)出版社
叢編項：
標　簽：	暫缺

購買這本書可以去

當當網 (￥51.70)

ISBN：	9787111772552	出版時間：	2024-12-01	包裝：	平裝-膠訂
開本：	16開	頁數(shù)：		字數(shù)：

內容簡介

　　開源軟件供應鏈是指開源軟件在開發(fā)和運行過程中涉及的所有開源軟件的上游社區(qū)、源碼包、二進制包、第三方組件分發(fā)市場、應用軟件分發(fā)市場，以及開發(fā)者和維護者、社區(qū)、基金會等，按照依賴、組合等形成的供應關系網絡。相較于傳統(tǒng)軟件供應鏈，開源軟件供應鏈隨著供應層級不斷加深，其規(guī)模不斷擴大，導致針對上游的攻擊將更難被發(fā)現(xiàn)、影響范圍更廣。本書從開源軟件供應鏈的定義開始，逐步講解開源供應鏈模型、開源供應鏈評估體系、關鍵節(jié)點識別與維護等開源軟件供應鏈的關鍵內容。開源軟件供應鏈是指開源軟件在開發(fā)和運行過程中涉及的所有開源軟件的上游社區(qū)、源碼包、二進制包、第三方組件分發(fā)市場、應用軟件分發(fā)市場，以及開發(fā)者和維護者、社區(qū)、基金會等，按照依賴、組合等形成的供應關系網絡。相較于傳統(tǒng)軟件供應鏈，開源軟件供應鏈隨著供應層級不斷加深，其規(guī)模不斷擴大，導致針對上游的攻擊將更難被發(fā)現(xiàn)、影響范圍更廣。本書從開源軟件供應鏈的定義開始，逐步講解開源供應鏈模型、開源供應鏈評估體系、關鍵節(jié)點識別與維護等開源軟件供應鏈的關鍵內容。本書可以作為開源軟件供應鏈領域的研究人員或者工程技術人員的參考用書，也可以作為開源愛好者的入門書籍。

作者簡介

　　現(xiàn)任中科院軟件所副所長、總工程師、學術委員會副主任，研究員、博士生導師。致力于開源軟件發(fā)展，擔任openEuler委員會副主席，OpenHarmony項目技術指導委員會（TSC）委員，開放原子開源基金會開源安全委員會主席，中國開放指令集（RISC-V）聯(lián)盟開源軟件工作組組長。主持多項基礎軟件領域國家級重大任務。當前主要研究方向是開源軟件供應鏈與RISC-V基礎軟件。

圖書目錄

前言
第1章　什么是開源軟件供應鏈　　/ 1
1.1　關注開源軟件供應鏈的原因　　/ 1
1.2　開源軟件供應鏈的基礎知識　　/ 8
1.2.1　開源軟件供應鏈的定義　　/ 8
1.2.2　開源軟件供應鏈的特征　　/ 10
1.2.3　開源軟件供應鏈面臨的風險　　/ 16
1.2.4　開源軟件供應鏈的法律政策　　/ 25
1.3　本書的組織框架　　/ 28
1.4　本章小結　　/ 29
第2章　開源軟件供應鏈的國際形勢　　/ 30
2.1　具有影響力的開放組織　　/ 30
2.1.1　OpenSSF　　/ 30
2.1.2　OWASP　　/ 35
2.1.3　SPDX　　/ 36
2.1.4　OpenChain　　/ 37
2.1.5　Openwall　　/ 37
2.1.6　中國計算機學會開源發(fā)展委員會　　/ 38
2.1.7　開放原子基金會開源安全委員會　　/ 38
2.2　關注開源軟件供應鏈安全的企業(yè)　　/ 39
2.2.1　Sonatype　　/ 39
2.2.2　Synopsys　　/ 40
2.2.3　科技巨頭　　/ 41
2.3　各國對開源軟件供應鏈安全的態(tài)度　　/ 41
2.3.1　國外　　/ 41
2.3.2　國內　　/ 45
2.4　本章小結　　/ 46
第3章　開源軟件供應鏈的研究基礎　　/ 47
3.1　供應鏈的相關研究　　/ 47
3.1.1　供應鏈定義及管理研究概述　　/ 47
3.1.2　供應鏈網絡研究概述　　/ 50
3.2　軟件供應鏈的相關研究　　/ 53
3.2.1　傳統(tǒng)軟件供應鏈研究概述　　/ 53
3.2.2　開源軟件供應鏈研究概述　　/ 54
3.2.3　供應鏈中關鍵軟件識別研究概述　　/ 57
3.3　軟件供應鏈建模的相關研究　　/ 59
3.3.1　軟件倉庫挖掘研究概述　　/ 59
3.3.2　軟件工程領域的知識圖譜研究概述　　/ 62
3.4　本章小結　　/ 64
第4章　開源軟件供應鏈模型　　/ 65
4.1　面向主要環(huán)節(jié)的供應鏈模型　　/ 65
4.2　開源軟件供應鏈的形式化模型　　/ 67
4.2.1　自動機構建　　/ 68
4.2.2　自動機驗證　　/ 73
4.3　開源軟件供應鏈的知識化模型　　/ 77
4.3.1　本體設計　　/ 77
4.3.2　知識抽取　　/ 83
4.3.3　知識融合　　/ 88
4.3.4　知識更新　　/ 89
4.4　工業(yè)界常用的供應鏈模型——軟件物料清單　　/ 90
4.4.1　背景　　/ 90
4.4.2　技術組成　　/ 91
4.4.3　已有的產品及分類　　/ 95
4.4.4　技術應用現(xiàn)狀　　/ 97
4.4.5　挑戰(zhàn)　　/ 100
4.5　本章小結　　/ 102
第5章　開源軟件供應鏈的風險評估體系　　/ 103
5.1　面向供應鏈主要環(huán)節(jié)的風險防控體系　　/ 103
5.1.1　風險模型　　/ 104
5.1.2　開源軟件供應鏈中第三方組件的風險識別　　/ 105
5.1.3　開源軟件供應鏈視角下的應用軟件風險識別　　/ 117
5.1.4　協(xié)作開發(fā)的風險識別　　/ 127
5.1.5　下載更新過程的風險識別　　/ 130
5.1.6　風險應對策略　　/ 131
5.2　基于知識化模型的風險防控體系　　/ 141
5.2.1　風險模型　　/ 143
5.2.2　面向安全性風險的管控方法　　/ 144
5.2.3　面向合規(guī)性風險的管控方法　　/ 146
5.2.4　面向維護性風險的管控方法　　/ 149
5.2.5　風險應對策略　　/ 154
5.3　本章小結　　/ 156
第6章　開源軟件供應鏈的關鍵節(jié)點識別與維護　　/ 157
6.1　開源軟件供應鏈的關鍵節(jié)點　　/ 157
6.2　關鍵節(jié)點識別方法　　/ 159
6.2.1　Criticality score　　/ 159
6.2.2　Gitee指數(shù)　　/ 161
6.2.3　CriticalityRank　　/ 164
6.3　本章小結　　/ 173
第7章　供應鏈軟件評估和篩選　　/ 174
7.1　供應鏈軟件　　/ 174
7.2　供應鏈軟件評估需要解決的問題　　/ 176
7.3　供應鏈軟件評估指標體系　　/ 177
7.3.1　評估屬性定義　　/ 178
7.3.2　評估屬性度量　　/ 180
7.4　供應鏈軟件評估方案　　/ 182
7.4.1　指標權重設計　　/ 183
7.4.2　評估結果計算　　/ 185
7.5　供應鏈軟件評估模型評價　　/ 189
7.6　面臨的問題與挑戰(zhàn)　　/ 191
7.6.1　研究難點與挑戰(zhàn)　　/ 191
7.6.2　未來研究方向　　/ 193
7.7　本章小結　　/ 198
第8章　開源軟件供應鏈基礎設施的建設　　/ 199
8.1　需求分析　　/ 199
8.1.1　開源軟件供應鏈基礎設施的功能性需求　　/ 200
8.1.2　開源軟件供應鏈基礎設施的非功能性需求　　/ 202
8.1.3　開源軟件供應鏈基礎設施的目標用戶　　/ 203
8.2　基礎設施設計　　/ 205
8.2.1　總體設計　　/ 206
8.2.2　數(shù)據(jù)基礎設施　　/ 210
8.2.3　一體化服務基礎設施　　/ 212
8.3　本章小結　　/ 215
第9章　開源軟件供應鏈的呈現(xiàn)與應用　　/ 216
9.1　供應鏈管理的可視化呈現(xiàn)　　/ 216
9.1.1　知識圖譜的可視化表示技術　　/ 218
9.1.2　大規(guī)模知識圖譜的可視化技術　　/ 218
9.1.3　知識圖譜的可視化查詢　　/ 219
9.1.4　開源軟件供應鏈管理的可視化呈現(xiàn)　　/ 223
9.2　典型應用案例　　/ 225
9.2.1　在openEuler開源社區(qū)的應用　　/ 225
9.2.2　在PyPI開源制品倉庫的應用　　/ 232
9.2.3　開源軟件供應鏈點亮計劃　　/ 236
9.3　本章小結　　/ 241
參考文獻　　/ 242