开源软件库生态治理技术研究综述:二十年进展

在“人-机-物”三元融合、泛在计算的时代蓝海下,“开放多变”“需求多样”和“场景复杂”的软件部署和运行环境对开源软件库生态的治理技术提出了更多需求和更高期望.为进一步推动构建可信软件供应链生态,围绕泛在计算模式、打造自主可控的技术体系,聚焦于开源软件库管理生态,收集近20多年来(2001–2023)发表于软件工程领域较高影响力的学术期刊和会议的348篇论文,对开源软件库生态治理技术的研究工作进行梳理.讨论开源软件库生态的建模与分析、演化与维护、质量保证和管理等方面的工作,总结研究现状、问题、挑战与趋势.

美国《开源软件安全倡议摘要报告》分析与启示

近年来,开源软件受攻击事件呈快速增长态势,引发的危害愈加严重,开源软件安全治理成为国际重要议题。作为开源生态建设的供给者、贡献者和主导者,美国认识到开源软件无处不在,安全风险也相伴相生,将开源软件安全治理上升为国家关键优先事项,从国家战略、政策法规、标准指南等多维度推进开源软件安全保护工作。本文旨在分析美国《开源软件安全倡议摘要报告》,借鉴美国开源软件安全治理最新实践做法,以期完善我国开源安全治理工作。建议从健全开源软件安全风险管理体系、提升自身技术研发水平、加快开源生态基础设施建设、增强国际开源生态建设话语权四方面完善我国开源安全治理工作。

开源软件供应链安全风险分析研究

开源软件已经成为支撑数字社会正常运转的最基本元素之一,渗透到各个行业和领域.随着开源软件供应链越发复杂多元,开源软件供应链安全攻击事件造成的危害也越发严重.梳理了开源软件供应链生态发展现状和世界主要国家开源软件供应链安全战略布局,从开源软件开发安全、使用安全和运营安全维度,提出了开源软件供应链安全风险分析体系,给出当前开源软件供应链面临的主要安全风险,构建了开源软件供应链安全保障模型,并从供应链环节、相关主体和保障措施3个维度提出我国开源软件供应链安全与发展对策建议.

开源软件供应链安全问题引发关注

4月教育网运行整体平稳,没有发现重大的安全事件。在病毒与木马方面,数据显示,2024年一季度以来,勒索病毒的攻击数量又呈现增长趋势。目前勒索病毒的产业模式已经升级到RaaS(软件即服务)模式,攻击目标也指向那些价值更高的服务器。由于RaaS模式会大大降低勒索攻击的门槛,后期这类攻击也将呈现继续增长的趋势.

开源软件漏洞感知技术综述

随着现代软件规模不断扩大,软件漏洞给计算机系统和软件的安全运行、可靠性造成了极大的威胁,进而给人们的生产生活造成巨大的损失.近年来,随着开源软件的广泛使用,其安全问题受到广泛关注.漏洞感知技术可以有效地帮助开源软件用户在漏洞纰漏之前提前感知到漏洞的存在,从而进行有效防御.与传统软件的漏洞检测不同,开源漏洞的透明性和协同性给开源软件的漏洞感知带来巨大的挑战.因此,有许多学者和从业人员提出多种技术,从代码和开源社区中感知开源软件中潜在的漏洞和风险,以尽早发现开源软件中的漏洞从而降低漏洞所带来的损失.为了促进开源软件漏洞感知技术的发展,对已有研究成果进行系统的梳理、总结和点评.选取45篇开源漏洞感知技术的高水平论文,将其分为3大类:基于代码的漏洞感知技术、基于开源社区讨论的漏洞感知技术和基于软件补丁的漏洞感知技术,并对其进行系统地梳理、归纳和总结.值得注意的是,根据近几年最新研究的总结,首次提出基于开源软件漏洞生命周期的感知技术分类,对已有的漏洞感知技术分类进行补充和完善.最后,探索该领域的挑战,并对未来研究的方向进行展望.

Patch-Locator:一种基于排序学习的开源软件漏洞补丁定位方法

日益增多的开源软件漏洞对软件安全带来了巨大的风险,补丁在应对这一风险的过程中扮演了非常重要的角色.不幸的是,尽管大部分漏洞的补丁在被披露前就已经开发完毕,但仅有部分补丁会随漏洞同步公开.现有的研究发现了漏洞与其补丁之间存在一定的相关性,并基于这些相关性特征对提交进行了排序,以定位漏洞的补丁,但仍旧存在漏洞数据部分缺失、定位准确率不佳等问题.本文提出了Patch-Locator,一种新的基于排序学习的补丁定位方法,通过扩展漏洞数据源对漏洞数据进行补充,并根据漏洞与补丁文本的相似性、漏洞产生的原因和导致的结果等更能反映漏洞与补丁间关联的因素提取了更具有针对性的相关性特征,并使用LambdaMart排序学习模型对提交基于其具有的相关性特征进行排序以定位安全补丁.本文用来自10个开源软件项目的1669个漏洞来评估Patch-Locator.实验结果表明,Patch-Locator的Recall@1指标为92.22%,Recall@5指标为95.51%,Manual Effort@5指标为1.2455,均优于现有方法.

开源软件供应链研究综述

开源软件已经成为现代社会的一项关键基础设施,支撑着几乎所有领域的软件开发.通过安装依赖、API调用、项目fork、文件拷贝和代码克隆等形式的代码复用,开源软件之间形成了错综复杂的供应(依赖)关系网络,被称为开源软件供应链.一方面,开源软件供应链为软件开发提供了便利,已然成为软件行业的基石.另一方面,上游软件的风险可以沿着开源软件供应链波及众多的下游软件,使开源软件供应链呈现牵一发而动全身的特点.开源软件供应链近年来逐渐成为学术界和工业界的关注焦点.为了帮助增进研究人员对开源软件供应链的认识,从整体性的角度,对开源软件供应链给出定义和研究框架;然后,对国内外的研究工作进行系统文献调研,总结结构与演化、风险传播与管理、依赖管理3个方面的研究现状;最后,展望开源软件供应链的研究挑战和未来研究方向.

开源软件开发者价值评估体系及其实证研究

如何科学客观地评估开源软件开发者的价值是开源领域面临的一个重要问题。现有研究方法存在评估指标较单一、指标权重难以确定等问题。针对这些问题,依据开源生态大数据分析,结合主客观评估方法,提出了一种多维度、多层次的开源软件开发者价值评估体系。综合考虑开发者在项目管理、编程、团队协作、学习、敬业度等方面的表现,通过5个一级指标、12个二级指标和7个三级指标,较全面和客观地评估开源软件开发者的能力和价值。采用Critic方法确定各维度指标的权重,解决了经验权重导致的准确性不高的问题。最后,采用Github 2020年全域开源生态数据,展开了多组实证研究,验证了开源社区开发者价值评估体系的有效性和可行性,为开源软件人才的培养、发现和管理提供了一种客观、科学且操作性较强的衡量方法。实验代码可从Github平台获取^(1))。

开源软件漏洞责任归属问题的剖析与对策

0引言开源软件位于软件供应链的源头,其代码自身安全缺陷、漏洞会广泛传播到下游软件厂商,最终影响用户安全。开源软件漏洞责任归属问题作为政府监督相关方开展开源漏洞安全治理工作的根源,是当前最棘手的问题。当前,美国、欧盟等国家和地区制定了相关政策、法律,进一步明确了开源软件漏洞治理相关方的责任义务,这为我国规范开源软件漏洞相关主体责任,开展开源漏洞安全治理工作提供了思路。本文将通过研究分析欧盟、美国等对开源漏洞治理的相关政策要求和法律规范,以及我国网络安全法律对开源漏洞治理的适用性、开源许可协议的法律效应,对构建和完善我国开源漏洞治理责任体系提出对策建议。

中国开源软件创新发展研讨会于长沙成功举办

2024年2月21日,由CCF长沙、CCF开源发展委员会主办,长沙理工大学计算机与通信工程学院承办的中国开源软件创新发展研讨会在长沙理工大学金盆岭校区成功举办。该研讨会由CCF长沙秘书长、长沙理工大学计算机与通信工程学院院长张锦教授主持。

开源软件成熟度评估模型研究综述

开源软件允许用户免费使用、学习、修改和再分发,具有降低软件开发成本、加速产品迭代等优点,被各领域广泛采用。随着开源软件数量急剧增长,如何对开源软件进行评估和选择成为用户面临的重要难题。对经典的开源软件成熟度评估模型进行系统分类,并分别对通用的开源软件成熟度评估模型以及开源基金会的评估模型进行详细描述和对比分析。

基于开源软件的地理计算研究生课程教学研究

地理计算是地球信息科学研究生开展研究工作的基本操作,开源地理软件能快速有效地处理地理数据集,并能通过编程语言集成到工作流中解决复杂研究问题。利用开源地理软件进行数据处理与分析,能帮助研究生提升科研技能。以笔者开设的《GIS编程》研究生课程教学中采用开源GIS结合计算机编程处理地理数据为基础,对相关的课程教学内容设置与教学实践进行了探讨,总结了开展研究生GIS编程课程教学实践面临的问题,为相关课程设置提供建议。

开源软件漏洞治理的挑战与对策建议

自互联网时代来临以来,开源软件为新一代信息技术的创新发展做出了巨大贡献,同时,开源软件漏洞数量也在持续增加。由于开源软件的开放性和共享性特质,其影响范围与深度也日益扩大。通过分析开源软件和闭源软件的区别,指出了建立开源软件漏洞治理体系的必要性,从开源用户、开源社区、代码托管平台等主体出发,研究发现开源软件漏洞治理存在安全意识缺乏、安全资源投入有限、漏洞情报获取信息差等问题。基于此,提出营造安全氛围、推进开源项目高质量发展、建立开源公共服务平台等对策建议,以期为相关研究和实际应用提供参考。

基于AIGC的开源软件供应链风险识别

开源软件作为现代信息产业的核心组成部分,不仅在促进技术共享、降低成本以及提升社会经济效益方面发挥重要作用,而且对信息技术的持续发展产生深远的影响。然而,随着开源软件生态的不断壮大,其供应链关系日趋复杂化,安全风险也随之显著增加。因此,识别和应对开源软件供应链中的风险变得尤为关键。通过文献调研和分析,系统地总结开源软件供应链中各个环节的典型风险点,将生成式人工智能(AIGC)技术应用于这些风险点的识别进行深入分析,为在AI时代开源软件供应链风险管理提供新的视角和方法。

2020自由开源软件发展蓝图综述

对开源世界论坛2008及其2020发展自由开源软件(FLOSS)发展蓝图的起源及其主要内容进行了简明扼要的述评和分析,包括七条预言、八条关键建议、五大重要事件及其2009年的工作计划。提出了应对未来挑战的八条建议,即营造FLOSS生态环境、重视FLOSS标准工作、投资FLOSS研究和开发、挖掘典型FLOSS应用、建立FLOSS公共平台、鼓励FLOSS社区、发展FLOSS教育、培训和弘扬FLOSS精神。

开源软件协议GPL及协议隔离研究

通用公共许可证协议(GeneralPublicLicense,GPL)是当今世界上最广泛使用的开源软件协议,许多重要的开源软件均基于此协议。GPL在推动开源软件的发展上做出了卓越的贡献,但其特有的版权(Copyleft)要求具有一定的传染性,导致企业在使用遵循GPL协议的开源软件上面临许多限制。因此,在商业软件和产品中使用遵循GPL协议的软件时,需谨慎行事。文章详细分析GPL协议的起源和发展,提出了一些避免GPL协议过度保护的方法和示例,以便在商业产品中合理使用GPL开源软件,降低知识产权风险,并保护自身的知识产权。

开源软件在PLC和DCS工业控制系统中的应用研究

随着开源创新体系的发展和数字技术的进步,开源软件的使用风险与治理越来越受到相关企业与部门,特别是工业行业的重视。对工业控制系统中PLC和DCS系统当前主要开源软件的使用情况及带来的风险进行了介绍和概括,并提出相关建议。

论开源软件在企业网络管理的实践

在企业信息化的背景下,企业网络管理系统的建设显得更加重要。但是在部分中小型企业无法投入大量人力、物力、财力的情况下,利用开源软件建设企业网络管理系统可以有效降低企业的成本并提升网络可靠性。结合部分开源网络管理软件在企业中的实际运用,分析开源软件在企业网络管理系统的建设中发挥的重要作用与企业在使用开源软件中遇到的一些问题和思考,对企业网络管理系统的建设提供了积极的借鉴。

基于深度学习的开源软件安全漏洞预测方法研究

针对开源软件的安全漏洞,现有预测方法的召回率和预测精准率较低,预测效果不符合预期。文章研究了基于深度学习的开源软件安全漏洞预测方法,首先将漏洞描述转换成词向量,其次从词向量中学习抽象的漏洞语义特征,并适应开源软件项目和安全项目的数据分布,最终实现漏洞特征的迁移学习。其中,文章利用sigma准则对缺失的数据进行了补全处理,以识别并删除异常数据点;采用多任务学习方法,在所有任务之间共享隐藏层的特征表示,并使用特定的分类器进行漏洞预测。实验结果表明,该方法在召回率和预测精确率方面表现出色,能够更全面地学习漏洞信息并实现良好的分类效果。

基于图注意力网络的开源软件安全漏洞检测方法

随着开源软件的普及,软件安全问题日益凸显,传统漏洞检测方法已无法应对如今的复杂病毒漏洞,其检测结果往往存在着一定的局限性,因此提出基于图注意力网络的开源软件安全漏洞检测方法。先构建图注意力网络模型,以源代码检测为切入点,进行图注意漏洞的识别检测。为验证文章所提方法中图注意力网络模型的性能,将文章所提模型与Drebin算法进行比较,结果表明图注意力网络模型能够有效检测出开源软件中安全漏洞的数量,其最大误差值为4个,相较于Drebin算法的安全漏洞检测方法具有更高的准确性和效率。